自定义用户访问权限

最新推荐文章于 2022-01-25 16:22:51 发布
最新推荐文章于 2022-01-25 16:22:51 发布
阅读量1.6k 收藏 1
点赞数
分类专栏: 工程开发 文章标签: session 数据库 server string object null
在实际的开发当中,我们经常会涉及到权限访问等问题。在很多开发当中有些程序员喜欢用Request.ServerVariables[“Script_Name”]来得到路径,然后再根据Session中的值来判断有没有访问权限,这种方法不好的地方在于页面的路径不能随意的改变,不然造成的工作量非常的大。
        本方法主要是基于 RBAC (基于角色的访问控制),现写出主要的步骤
         1. 创建表(模块表、角色表、角色权限设置表、用户表)

      角色表:TbRole

      字段         类型     大小      约束         描述

       ModuleID         SMALLINT                           主键,不为空       模块编号

       ModuleName           VARCHAR       30                  唯一,不为空       模块中文名称

       ModuleEName       VARCHAR       30                  唯一,不为空       模块英文名字

      

              角色表:TbRole

              字段                     类型              大小              约束                     描述

              RoleID                     SMALLINT                          主键,不为空    角色编号

              RoleName              VARCHAR       20                  唯一,不为空    角色名称

              RoleDesc               VARCHAR       100                                            角色描述

             

              角色权限设置表:TbRoleSet

              字段                     类型              大小              约束                     描述

              RoleSetID              SMALLINT                          主键,不为空    角色设置编号

              RoleID                     SMALLINT                          引用TbRole       角色编号

              ModuleID              SMALLINT                          引用TbModule 模块编号

             

     用户表:TbUser

     字段                     类型              大小              约束                     描述

     UserName        VARCHAR       20                  主键,不为空       用户名

     UserPassword           VARCHAR       10                  不为空                  密码

     UserRole                 SMALLINT                           引用TbRole表       角色

模块表是把系统的各个模块写在其中,然后在角色表中加入角色,再通过角色权限设置表把各个角色能访问的权限联系起来。
模块表:

角色表:

角色权限设置表:

从以上我们可以看出,总共有4个模块,两个角色,他们分别具有的权限为:
管理员(浏览、添加、修改、删除)   普通用户(浏览)
添加了角色以后,我们在添加用户时就可以设定角色了
参考图如下:

用户添加:

2. 用户控件
    数据库设置好了以后,接下来要想在什么地方进行身份检查
    因为整个网站的头应该是相同的,所以我们可以把验证信息放到一个用户控件中,以后只要把用户控件放到相应的网页即可
    但是每个网页都是不同的功能模块,我们怎么能保证用户控件能够动态的识别呢?
    接下来在用户控件中加入一个模块英文名字的属性

//  模块英文名称
private   string  moduleEName  =   "" ;

 /// <summary>
/// 模块英文名称属性
/// </summary>
public   string  ModuleEName
 {
    set {moduleEName = value;}
    get {return moduleEName;}
}

            这样的话只要在相应的网页中设置一下用户控件即可实现(注:ModuleEName要和数据库中的模块英文名相同),不设置即代表此页面不需要验证
            如:
            浏览模块页面:
             < uc1:top id="Top1" runat="server" ModuleEName="ViewBook"></uc1:top>
            添加模块页面:
             < uc1:top id="Top1" runat="server" ModuleEName="AddBook"></uc1:top>
            修改模块页面:
             < uc1:top id="Top1" runat="server" ModuleEName="EditBook"></uc1:top>
            删除模块页面:
             < uc1:top id="Top1" runat="server" ModuleEName="DeleteBook"></uc1:top>
            
            3. 身份验证    
            在用户控件中,只读取到英文模块名是无法判断权限的,所以在登录中,一定要把登录的角色用Session保存下来(如:Session["UserRole"])
            那么,既然可以得到正在登录的用户的角色,也可以得到此模块的名称,那么当然可以到数据库中看是否有权限了
            参考代码如下:
           
private   void  Page_Load( object  sender, System.EventArgs e)
 {
    if (!IsPostBack)
    {
        // 模块名称等于空,代表不需要进行验证
        // 只有在模块名称不为空时,才进行权限验证
        if (moduleEName != "")
        {
            // Session为空,禁止登录,防止非登录用户
            if (Session["UserRole"== null || Session["UserRole "].ToString() == "")
                Response.Redirect("提示页面");
                    
            try
            {

                // 连接数据库
                ……
                // 根据模块英文名称和角色ID进行查选
                SqlCommand sqlCmd = new SqlCommand("SELECT RoleSetID FROM TbModule a,TbRoleSet b WHERE 
a.ModuleID=b.ModuleID AND ModuleEName='" +  moduleEName + "' AND RoleID=" + Session["UserRole "].ToString() + "",sqlCon);
                sqlCon.Open();

                sqlDr = sqlCmd.ExecuteReader();

                // 返回有记录说明有权限,否则没有权限访问该模块
                if (!sqlDr.HasRows)
                {
                    Response.Redirect("提示页面");
                }
            }
            catch{}
            finally
            {
                // 释放
                ……

            }
        }
    }
}

 

http://cj.cnblogs.com/archive/2006/06/09/421353.html

JOHNCOOLS
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
控制用户访问--用户和权限
hellowheat的专栏
05-27 1370
控制用户访问        在多用户环境中,要维护数据库访问和使用的安全性。通过Oracle服务器数据库安全性,可以执行以下任务:     1.控制数据库访问     2.授予对数据库中特定对象的访问权限     3.通过Oracle数据字典确认给定的和接收的权限     4.为数据库对象创建同义词        数据库的安全性可以分为以下两类:系统安全性和数据安全性。系统安全性包括在系统级别上对
权限访问自动和自定义
weixin_45484641的博客
08-07 121
1.shiro的认识 shiro 它是Apache下面一个安全的权限框架,它是轻量级的 shiro功能:身份认证(登录) 和 授权(权限) 和 会话管理 和密码学 2.shiro的练习 (1)配置shiro.ini的模式 – 测试 底层默认找IniRealm (2)自定义的Realm的模式 – 我们需要告诉SecurityManager 安全的管理器维护起来(身份认证和授权) 3 shiro整...
用户访问
Blog_inG的博客
10-09 498
大多数的的web应用程序采用三层相互关联的安全机制处理用户访问。 身份认证 一般采用用户名与密码进行身份认证,如果是较高的安全级别的应用程序可能会采用其他证书和多阶段登陆来强化身份认证,如果安全级别更高,可能会采用客户端证书,智能卡,质询响应令牌,使用其他身份验证模型。一般会包括注册,密码修改,账号恢复等功能。 会话管理 处理用户访问的下一逻辑阶段是管理通过身份认证的用户,通过身份认证之后
自动化用户特定实体的访问控制
最佳 Java 编程
06-10 77
实际上,每个Web应用程序都应该有多个用户,每个用户都有一些数据-帖子,文档,消息等等。 最明显的事情是保护这些实体免遭非这些资源合法所有者的用户获取。 不幸的是,这不是最容易的事情。 我并不是说很难,它不像简单地返回资源那样直观。 当您是/record/{recordId}端点时,您将立即执行对recordId的数据库查询。 只有这样,才需要检查此记录是否属于当前经过身份验证的用户。 ...
Java中的访问控制权限
weixin_34234823的博客
02-04 127
简介 Java中为什么要设计访问权限控制机制呢?主要作用有两点: (1)为了使用户不要触碰那些他们不该触碰的部分,这些部分对于类内部的操作时必要的,但是它并不属于客户端程序员所需接口的一部分。 (2)为了让类库设计者可用更改类的内部工作方式,而不必担心会对用户造成重大影响。   Java中的访问权限控制的等级,按照权限从大到小依次为: Public -&gt; protected -&...
ASP.NET Core使用自定义验证属性控制访问权限详解
10-17
在*** Core中,使用自定义验证属性控制访问权限是一个高级话题,主要涉及到身份验证、授权以及对API访问权限的控制。为了实现这一功能,开发者常常需要编写自定义的验证逻辑,然后通过属性(Attributes)的方式应用...
Android添加用户组及自定义App权限的方法
08-27
Android系统像传统Unix系统一样,采用了用户组(Group)的概念来管理用户对系统资源的访问权限。每个用户组都拥有一个唯一的ID号,这一ID号是在系统启动时定义好的,通常不会更改。每个进程所属的用户组决定了它可以...
Spring Boot 通过AOP和自定义注解实现权限控制的方法
08-25
* 用户访问接口时,将对应接口的值和 redis 中的匹配看是否有访问权限 * 用户退出登录时,清空 redis 中对应的权限缓存 */ String value() default ""; } ``` 权限 AOP 下一步,我们需要定义一个权限 AOP,用于...
Android权限控制之自定义权限
09-03
用户尝试从Client App启动Permission App的Activity时,系统会检查Client App是否已获得相应的自定义权限。如果没有,系统将阻止启动操作。 关于`protectionLevel`,它决定了权限的严格程度。在上述示例中,我们...
java中自定义Spring Security权限控制管理示例(实战篇)
08-31
假设我们的系统需要根据用户角色分配不同的访问权限,比如对于URL `https://.../xxx/users/1`,某些角色只能执行GET请求,而不能执行POST、PUT或DELETE请求。为了实现这样的功能,我们需要设计相应的数据库表结构,...
jquery无刷新分页
akun8717的博客
03-16 102
希望有机会能和大家一起交流学习,220897863程序员之家群欢迎大家加入 在现在的项目中使用jquery实现无刷新的分页,数据库采用存储过程进行分页,具体代码就不说了,主要看前段的实现 PageChage.ascx是一个分页用户控件,可以将它直接拖动到页面中使用。以下是html源码,包含一个分页的js和导航div <script src="/Comm...
华三交换机的用户权限设置
qq_42906357的博客
01-25 2万+
华三交换机的用户权限设置 权限 说明 security-audit 安全日志管理员(系统中的最后一个安全日志管理员角色的本地用户不可被删除,重新创建一个登陆账号解决问题) network-admin 具有最高权限,可操作系统所有功能和资源(除安全日志文件管理相关命令外) network-operator 可执行系统所有功能和资源的相关display命令(除安全日志等查看命令外) level-0 可执行命令ping、tracert、ssh2、telnet和super,且管理员可以为
自定义权限
zhangquanit的专栏
02-04 2018
一、权限 权限有两个作用: 其一:防止其它程序随便调用。 其二:能够在安装程序时,显式的给用户看,当前要安装的这个程序要用到哪个功能。这个是最重要的,试想,如果你装一个斗地主游戏,却看到要用到打电话、发短信的功能,便可以判定这个程序里面可能包含恶意代码,还是不装为好。 下面以打电话为例,来讲解一下系统对权限的要求: 一般情况下,要调用打电话的Activity,代码是这样写的: Uri
SpringSecurity授权(访问控制)
wyy的博客
10-30 5792
一、 访问控制url匹配 在前面讲解了认证中所有常用配置,主要是对httpSecurity.formLogin()进行操作。而在配置类中httphttpSecurity.authorizeRequests()主要是对url进行控制,也就是我们所说的授权(访问控制)。httpSecurity.authorizeRequests()也支持连缀写法,可以有很多url匹配规则和很多权限控制方法。这些内容进行各种组合就形成了Spring Security中的授权。 在所有匹配规则中取所有规则的交集。配置顺序影响了之
Android自定义权限怎样设置?
月笼寒沙
11-06 1427
Android自定义权限怎样设置?网上大部分都说到一句,“通常为包名+权限名”。这句话似乎不准确,准确来说应该是必须”包名+.+字符串“,而字符串通常为权限名。 体现在AndroidManifest.xml文件中,则如下形式:<permission android:name="com.wild.wildwithflower.myper"/>注意:自定义一个权限必须用permission标签,而不是
权限管理——用户认证和用户授权
许小乖……是总攻
07-16 2万+
因为做了权限的项目经理,so,恶补一下一个权限框架:shiro。其实作为框架首要目标是易于使用和理解。安全有时候是很复杂的,甚至是痛苦的,但框架没有必要这样。框架应该尽可能掩盖复杂的地方,露出一个干净而直观的API,来简化开发人员在使他们的应用程序安全上的努力。             Apche Shiro就是一个强大而灵活的开源安全框架,它干净利落地处理身份认证,授权,企业会话管理和加密。说
SQL Server 2008 用户自定义数据库角色权限详解
首先,确保只有合法用户能够通过身份验证进入系统,其次,通过细致的角色和权限配置,限制每个用户只能访问他们所需的数据和功能。 理解和管理数据库角色是数据库管理员进行有效权限控制的关键,这有助于提高系统的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值