Я работаю над новым проектом asp.net mvc4, использующим бета-версию Visual Studio 2011, и пытаюсь разобраться во всем, что касается безопасности. Это внутреннее приложение для внутренней сети, которое первоначально будет использовать единый вход, поэтому пользователю (пока) не будет предложено ввести идентификатор Windows / пароль. Компания имеет специальное приложение для хранения ролей для различных приложений и будет доступно через вызов хранимой процедуры. Он примет идентификатор входа пользователя и вернет некоторую коллекцию, содержащую роли, например, & quot; MyApp.Data & quot ;, & quot; MyApp.User, & quot; MyApp.Admin & quot ;. Так что же это называется - это пользовательский поставщик членства, пользовательский поставщик ролей или что-то еще?

Я читал о всех тонкостях авторизации, аутентификации, членства, ролей и т. Д., И в данный момент не вижу дерева для деревьев. Я читал, что существующие объекты ASP.NET Security были опробованы и протестированы, и если нет очень сложных требований, встроенных будет достаточно, поэтому я рад использовать то, что уже есть.

Так что, если пользователь уже вошел в сеть, это означает, что он аутентифицирован - правильно? Если так, то мне просто нужно реализовать авторизацию. Необходимо ли украшать каждый контроллер или действие атрибутом Authorize? Если да, то как работает «ABC»? часть [Authorize (Roles = & quot; ABC & quot;)] устанавливается, если я получаю роли из своего приложения для хранения пользовательских ролей?

Я прочитал несколько статей и постов в блоге, включая эту, от Джона Галлоуэя, но к концу заблудился:

Индивидуальная настройка аутентификации и авторизации

Так много вопросов ... если кто-нибудь знает хорошее описание высокого уровня того, как все это сочетается, то я весь слух :)