asp.net MVC 权限设计

最新推荐文章于 2020-11-29 08:55:05 发布
最新推荐文章于 2020-11-29 08:55:05 发布
阅读量1.9k 收藏 4
点赞数
分类专栏: c# 文章标签: mvc权限设计

几点说明:

 

    1、该权限系统是个网站用的,用户简单,因此不涉及到部门这些信息

    2、基于将角色与controller、action相关联来判断用户是否有权

    3、通过重载AuthorizeAttribute实现

 

数据库设计:


表说明

 

ControllerAction 

  1.     Name是controller的名称
  2.     IsController是指是否是controller,如果为false,表示存的是action,那么controllerName字段就派上用场了
  3.     IsAllowedNoneRoles是指是否允许没有权限的人访问
  4.     IsAllowedAllRoles是指是否允许有角色的人访问

IsAllowedNoneRoles,IsAllowedAllRoles实现了允许所有人访问以及允许所有注册用户访问:),并且我们约定,IsAllowedNoneRoles具有最高的优先级,其次是IsAllowedAllRoles,然后才是ControllerActionRole中定义的规则

 

 

ControllerActionRole

 IsAllowed表示该action或者controller是否允许访问,加入表中有两条记录

角色 Name ControllName IsAllowed IsController
   A Admin Home false false
   A Home Null true true

     这里约定分两个层次来判断权限:

          第一条记录:表示A角色不能访问 Home/admin

          第二条记录:表示A角色可以访问Controller下的所有方法

     到底能不能访问呢?其实,我们以action为准,如果定义了action,我们直接从action的约定来判断,因此这里判断A不能访问Home/admin

 

 其他几张表一看就明白,不再多说

 

判断是否有权限的设定

 

    1、获取controller,action,以及存放在session中的用户信息

public class UserAuthorizeAttribute : AuthorizeAttribute 
    {

     public override void OnAuthorization(AuthorizationContext filterContext) 
      { 
          var user = filterContext.HttpContext.Session["CurrentUser"] as User; 
          var controller = filterContext.RouteData.Values["controller"].ToString(); 
          var action = filterContext.RouteData.Values["action"].ToString(); 
          var isAllowed = this.IsAllowed(user, controller, action); 

          if (!isAllowed) 
          { 
              filterContext.RequestContext.HttpContext.Response.Write("无权访问"); 
              filterContext.RequestContext.HttpContext.Response.End(); 
          } 

      }

    ……

}

2、检索数据库ControllerAction表中有没有Name为第一步中controller 的记录,如果没有,我们约定这个controller是不需要进行权限控制的,如果有的话,进入第三步

 

   3、前面提到了,我们约定对权限的控制分为两个层次,controller和action层次,如果同时定义了,以action为准。因此,我们需要判断是否在数据库中有action的记录,如果有,进入4,无,进入5

bool IsAllowed(User user, string controllerName, string actionName) 
{ 
    var service = ServiceLoader.LoadService<ToySpirit.IToySpiritService.IControllerActionService>(); 

    // 获取对应的controller 
     var controller = service.GetSingleByExpression(c => c.Name == controllerName && c.IsController); 
    if (controller != null) 
    { 
        // 获取对应的action 
         var controllerAction = service.GetSingleByFunc(c => c.Name == actionName && c.IsController == false && c.ControllerName == controllerName); 

        return controllerAction == null ? this.isAllowed(user, controller) : this.isAllowed(user, controllerAction); 
    } 

    // 没有定义controller的权限,表示无需权限控制 
     return true; 
}

4、如果有action的记录,那么我们首先判断controllerAction 拒绝哪些角色访问,如果用户有角色在这里面,很遗憾,就不能访问了;然后判断controllerAction 允许哪些角色访问,如果用户的角色在这里面,就可以访问了

注:这里很有可能用户有多个角色,比如A,B,C,如果A不能访问controllerAction,那么很遗憾,用户不能访问,尽管角色B,C可能可以访问该controllerAction

5、没有action的记录,自然就检查controller对应的controllerAction 了

代码

4、5判断的代码是一样的,如下:

      private bool isAllowed(User user, ControllerAction controllerAction) 
        { 
            // 允许没有角色的:也就是说允许所有人,包括没有登录的用户 
            if (controllerAction.IsAllowedNoneRoles) 
            { 
                return true; 
            } 

            // 允许所有角色:只要有角色,就可以访问 
            if (controllerAction.IsAllowedAllRoles) 
            { 
                return user.Roles.Count > 0; 
            } 

            if (user == null || user.Roles.Count == 0) 
            { 
                return false; 
            } 

            // 选出action对应的角色 
            var roles = controllerAction.ControllerActionRoles.Select(ca => ca.Role).ToList(); 
            if (roles.Count == 0) 
            { 
                // 角色数量为0,也就是说没有定义访问规则,默认允许访问 
                return true; 
            } 

            var userHavedRolesids = user.Roles.Select(r => r.ID).ToList(); 

            // 查找禁止的角色 
            var notAllowedRoles = controllerAction.ControllerActionRoles.FindAll(r => r.IsAllowed == false).Select(ca => ca.Role).ToList(); 
            if (notAllowedRoles.Count > 0) 
            { 
                foreach (Role role in notAllowedRoles) 
                { 
                    // 用户的角色在禁止访问列表中,不允许访问 
                    if (userHavedRolesids.Contains(role.ID)) 
                    { 
                        return false; 
                    } 
                } 
            } 

            // 查找允许访问的角色列表 
            var allowRoles = controllerAction.ControllerActionRoles.FindAll(r => r.IsAllowed).Select(ca => ca.Role).ToList(); 
            if (allowRoles.Count > 0) 
            { 
                foreach (Role role in allowRoles) 
                { 
                    // 用户的角色在访问的角色列表 
                    if (userHavedRolesids.Contains(role.ID)) 
                    { 
                        return true; 
                    } 
                } 
            } 

            return false; 
        }


使用方法:

 

建立一个basecontroller,使用我们定义好的UserAuthorize,然后所有的controller继承basecontroller就可以了

/// <summary> 
   /// 控制基类 
   /// </summary> 
    [UserAuthorize] 
   public abstract class BaseController : Controller 
   {}

   public class HomeController : BaseController{}

示:

 

在controlleraction中添加几条数据:


根据我们的规则,我们可以知道,未登录的用户可以访问Home/Public,其他几个页面则不能访问

我们看对应的Action:

public void ViewPage() 
       { 
           Response.Write("View"); 
       } 
       public void Public() 
       { 
           Response.Write("Public"); 
       } 
       public void Delete() 
       { 
           Response.Write("Delete"); 
       }

访问Home/Public,如果有权限,那么显示“Public“,否则显示”无权访问”

未登录用户访问Home/Public,结果符合我们的约定;-)



山鹰的天空
关注
专栏目录
.net mvc 权限设计
11-11
数据库:sqlserver2012 vs2013开发,asp.net mvc权限设计的具体实例
ASP.NET MVC权限管理系统源代码
09-07
在本资源中,"ASP.NET MVC权限管理系统源代码"是一个使用该框架开发的完整项目,旨在实现高效且精细的权限管理功能。 首先,ASP.NET MVC遵循模型-视图-控制器(MVC设计模式,这是一种将业务逻辑、用户界面和数据...
Asp.net MVC权限设计思考 (一)数据库建库部分
03-04 128
目前各类的权限设计已经困扰了我们好久,对于MVC,下面我将通过ActionFilter来扩展我们的权限认证,以下示例是从我的一个课程中心项目中提取出来,希望对各位初学者起到抛砖引玉的作用。 下面首先来设计我们的权限控制的数据库层。 下面我来依次介绍每个字段的说明 RoleGroup 权限组表 该表主要对系统权限进行分组,我们的用户可以直接赋予该分组,拥有所有该组权限 Ro...
ASP.NET MVC+EF框架+EasyUI实现权限管理系列(13)-权限设计
weixin_34197488的博客
04-24 90
   ASP.NET MVC+EF框架+EasyUI实现权限管系列   (开篇)   (1):框架搭建    (2):数据库访问层的设计Demo    (3):面向接口编程   (4 ):业务逻辑层的封装      (5):前台Jquery easyUI实现    (6):EF上下文实例管理    (7):DBSession的封装   (8):DBSession线程内唯一       (9)...
asp.net mvc权限管理设计
weixin_30449453的博客
08-17 142
现在集中展示用户-角色-权限管理的功能,因此,所有数据表一律简化处理。 1 后台管理效果 (1)角色管理 (2)权限管理 2 数据库设计(MSSQL) (1)用户表dbo.Users 项 类型 说明 UserId int 主键,标识列 Na...
毕业设计:基于ASP.NET mvc2.0+Layui 权限管理系统.zip
10-11
【标题】:“毕业设计:基于ASP.NET MVC2.0+Layui 权限管理系统” 这个项目是一个典型的毕业设计案例,它使用了ASP.NET MVC2.0框架与Layui前端UI库来构建一个权限管理系统。ASP.NET MVC是微软开发的一个用于构建Web...
毕业设计:基于ASP.NET MVC搭建的通用权限后台管理系统.zip
最新发布
10-11
【标题】:“毕业设计:基于ASP.NET MVC搭建的通用权限后台管理系统” 【描述】:“计算机毕设源码”通常指的是学生在完成计算机科学或相关专业学位时,为展示其编程技能和理解应用软件开发所创建的项目。这个特定...
ASP.NET MVC5
06-22
ASP.NET MVC5是一个基于微软.NET Framework的开源web应用程序框架,专为构建动态、数据驱动的Web应用程序而设计。它结合了Model-View-Controller(MVC设计模式、ASP.NET的功能性和HTML5的能力,提供了更高效、灵活...
ASP.NET MVC 医疗管理系统 项目答辩
10-19
ASP.NET MVC 是微软开发的一种用于构建可扩展、高性能 web 应用程序的框架,它结合了ASP.NET的优势和MVC(Model-View-Controller)设计模式的理念。在医疗管理系统项目中,这种技术被用来实现后端逻辑,处理HTTP请求...
基于asp.net MVC权限管理
10-23
asp.net MVC权限管理,MVC入门好教程
ASP.NET MVC权限管理系统源码
01-01
asp.net MVC开发的权限管理系统,对学习MVC很有用哦
asp.net core mvc权限控制:在视图中控制操作权限
08-31
本文主要介绍了asp.net core mvc权限控制:在视图中控制操作权限。具有很好的参考价值,下面跟着小编一起来看下吧
ASP.NET MVC使用ActionFilterAttribute实现权限限制的方法(附demo源码下载)
10-22
主要介绍了ASP.NET MVC使用ActionFilterAttribute实现权限限制的方法,结合实例形式分析了ASP.NET MVC使用ActionFilterAttribute过滤类实现权限限制的步骤与相关技巧,并附带demo源码供读者下载,需要的朋友可以参考下
ASP.NET MVC 中实现基于角色的权限控制的处理方法
01-01
[Authorize]public ActionResult Index() 标记的方式,可以实现所标记的ACTION必须是认证用户才能访问; 通过使用 [Authorize(Users=”username”)] 的方式,可以实现所标记的ACTION必须是某个具体的用户才能访问,以上两种方式使用起来非常方便,在NeedDinner示例程序中已有具休的实现过程, 但是,我们在实际的应用中所使用的大都是基于角色(Roles)的认证方式,NeedDinner中却未给出,本文给出具体实现(基于ASP.NET Forms验证)过程: step 1在完成UserName和Password认证后,向客户端写
ASP.NET MVC用户权限
二孬的博客
11-29 217
public class IsLogin:AuthorizeAttribute { /// <summary> /// 重写父类的OnAuthorization 在过程请求授权时调用 /// </summary> /// <param name="filterContext"></param> public override void OnAuthorization(Aut
ASP.NET MVC实现权限控制
weixin_34405354的博客
12-22 622
这篇分享一下 ASP.NET MVC权限控制。也就是说某一用户登录之后,某一个用户是否有权限访问Controller,Action(操作),视图等想实现这些功能,需要在数据库创建好几个表:[User],[Module],[Form],[Action],[Role],[RoleModule],[UserModule],[UserRole]。 [User]:是存储用户信息。[Module]:是存储A...
asp.net MVC 权限设计(续)
weixin_34408717的博客
01-24 110
asp.net MVC 权限设计一文中没有demo放出来,应大家的要求,这里补充上文并放出demo。   几点说明:       1、基于将角色与controller、action相关联来判断用户是否有权     2、通过自定义AuthorizeAttribute实现     3、demo 仅供参考,一些规则可以根据实际情况重新定义   简明需求 1、可以对每个action实...
ASP.Net MVC权限设置
心若静,风奈何
04-08 1382
作者:王文青 开发工具与关键技术:VS+ASP.Net MVC +SQL Server 数据库的设计: 用户表 SYS_Users 用户ID UsersID 用户类型ID UsersTypesID 账号 AccountNumber 密码 Password 用户姓名 UsersName 手机号码 Phone 头像路径 AvatarPath 创建时间 Cre...
Asp.net MVC权限设计:数据库与逻辑实现
"Asp.net MVC权限设计案例" 在Asp.net MVC框架中,权限控制是构建安全、可扩展的应用程序的关键部分。这个案例探讨了一种实现权限控制的方法,特别是通过ActionFilter扩展权限认证。以下是对标题和描述中所述知识点...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值