asp.net mvc5 基于角色的权限验证

最新推荐文章于 2023-06-13 08:00:00 发布
最新推荐文章于 2023-06-13 08:00:00 发布
阅读量913 收藏 4
点赞数
分类专栏: net
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/phker/article/details/102498239
版权

第一步 登录的时候写入标准的权限信息到Cookie中.
第二步 Global.asax 文件中增加从cookie中取得权限信息的代码
第三步 使用 [Authorize(Roles = “admin”)] 标注权限所需角色

   [HttpPost]
        public ActionResult DoLogin(string username, string password, string yzm, string returnUrl)
        {
            SysUser user = DB.FirstOrDefault(x => x.UserID == username && x.UserPassword == password);
            if (Session["code"] != null && Session["code"].ToString().ToUpper().Trim().Equals(yzm.ToUpper()))
            {
                if (user != null)
                {
                   // FormsAuthentication.SetAuthCookie(username, true);//比较差的方法,不能保存角色信息
                    SetFormsAuthentication(username,true, "admin");//admin 是角色名
                    //FormsAuthentication.SignOut();
                    if (!String.IsNullOrEmpty(returnUrl)) return Redirect(returnUrl); 
                    else return Redirect("/");
                }
                else
                {
                    ViewBag.Message = "用户名或密码错误!";
                }
            }
            else
            {
                //登陆失败,提示错误信息
                ViewBag.Message = "验证码错误!";
            }
            return View("Index");
        }

		//将登录信息写入Cookie
        public   void SetFormsAuthentication(string username, bool isPersistent, string roles)
        {
            roles = string.IsNullOrEmpty(roles) ? string.Empty : roles;

            //创建票证
            FormsAuthenticationTicket ticket = new FormsAuthenticationTicket(1,
                username,
                DateTime.Now,
                DateTime.Now.AddMinutes(720),
                isPersistent,
                roles,
                FormsAuthentication.FormsCookiePath);

            // 加密票证
            string encTicket = FormsAuthentication.Encrypt(ticket);

            // 创建cookie
            HttpCookie cookie = new HttpCookie(FormsAuthentication.FormsCookieName, encTicket)
            {
                HttpOnly = true,
                Path = FormsAuthentication.FormsCookiePath,
                Secure = false
            };
            if (ticket.IsPersistent)
            {
                cookie.Expires = ticket.Expiration;
            }
            Response.Cookies.Add(cookie);
        }

Global.asax 文件中增加从cookie中恢复权限信息的代码,

   public class MvcApplication : System.Web.HttpApplication
    {

        public MvcApplication()
        {
            AuthorizeRequest += new EventHandler(MvcApplication_AuthorizeRequest);
        }

        void MvcApplication_AuthorizeRequest(object sender, EventArgs e)
        {
 
            var url = Request.RawUrl;
            string cookieName = FormsAuthentication.FormsCookieName;
            HttpCookie authCookie = Context.Request.Cookies[cookieName];
            FormsAuthenticationTicket authTicket = null;
            try
            {
                authTicket = FormsAuthentication.Decrypt(authCookie.Value);
            }
            catch (Exception ex)
            {
                return;
            } 
            string[] roles = authTicket.UserData.Split(new char[] { ','});//如果存取多个角色,我们把它分解 
            FormsIdentity id = new FormsIdentity(authTicket); 
            GenericPrincipal principal = new GenericPrincipal(id, roles);
            Context.User = principal;//存到HttpContext.User中

        }
}

第三步 使用, 只需要在每个Action上面 加个注解属性. [Authorize(Roles = “admin”)]
这样只有是admin角色的用户才能访问. 这是 Authorize 类中定义的.

    public class DefaultController : Controller
    {
        // GET: Default
        [Authorize(Roles = "admin")] //这样用就可以了. admin 是角色名
        public ActionResult Index()
        {
            return View();
        }
    }

看到这里, 估计有些人会觉得这个有点鸡肋. 我们设计系统的时候肯定不知道角色有那些的, 这样就把角色的个数框定死在代码里了.

有没有什么方法能够使得后期的角色可以动态增加, 而不修改系统呢?
经过修改,确实是可以做到的. 使用方法如下.

    public class DefaultController : Controller
    {
        // GET: Default
        //[App_Start.MVC.Filters.UserAuthorize( RightName ="121")]
        [RightAuthorize(NeedRightId = "CustomeView", RightDesc= "查看客户信息")]
        public ActionResult Index()
        {
            return View();
        }
    }

RightAuthorize这个类是自定定义的, 只需要继承自AuthorizeAttribute 就可以了.

using Common;
using MK.DBModel;
using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;
using System.Web.Mvc;

namespace MKDataCenter 
{
        /// <summary>
        /// 所需权限属性
        /// </summary>
        public class RightAuthorize : AuthorizeAttribute
        {
 

        /// <summary>
        /// 权限注释,可通过反射自动添入到权限系统中.方便用户查看.
        /// </summary>
        public string RightDesc { get; set; }
        

        /// <summary>
        /// 访问本Action所需权限Id
        /// </summary>
        public string NeedRightId { get; set; }

        /// <summary>
        /// 权限列表
        /// </summary>
        private List<SysRoleRightRelation> Rights ;

        private static ICache AllRightsCache = new SystemCache();

        /// <summary>
        /// 请求授权时执行
        /// </summary>
        public override void OnAuthorization(AuthorizationContext filterContext)
        {
                // 判断是否已经验证用户
                if (!filterContext.HttpContext.User.Identity.IsAuthenticated)
                {
                    // 如果没有验证则跳转到LogOn页面
                    filterContext.HttpContext.Response.Redirect("~/BaseApp/Login/Index");
                    return;
                }

                var ticket = ((System.Web.Security.FormsIdentity)filterContext.HttpContext.User.Identity).Ticket;
                var roles = ticket.UserData.Split(',');
                //去缓存查数据
                var allRights = AllRightsCache.GetCache<List<MK.DBModel.SysRoleRightRelation>>("AllRights");
                if (allRights == null)
                {
                      //重新加载缓存权限数据
                      allRights = new DbHelp.Base.DbBase<SysRoleRightRelation>().AsQueryable().ToList();
                      AllRightsCache.SetCache("AllRights", allRights);
                }

                this.Rights = allRights
                                .Where( a=>roles.Contains( a.RoleID ) )
                                .ToList();
                
                base.OnAuthorization(filterContext);
            }
            /// <summary>
            /// 自定义授权检查(返回False则授权失败)
            /// </summary>
            protected override bool AuthorizeCore(HttpContextBase httpContext)
            { 
                if (httpContext.User.Identity.IsAuthenticated)
                { 
                    return this.Rights.Where(a=>a.RightID == this.NeedRightId).Count()>0; 
                }
                else
                {
                    //进入HandleUnauthorizedRequest
                    return false;
                }

            }

            /// <summary>
            /// 处理授权失败的HTTP请求
            /// </summary>
            protected override void HandleUnauthorizedRequest(AuthorizationContext filterContext)
            {
                filterContext.Result = new ViewResult { ViewName = "AuthorizationFailView" };
            }
        }
}
走错路的程序员
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Asp.net Mvc 身份验证、异常处理、权限验证(拦截器)实现代码
10-27
本问主要介绍asp.net的身份验证机制及asp.net MVC拦截器在项目中的运用。现在让我们来模拟一个简单的流程:用户登录》权限验证》异常处理
MVC 权限控制 Authorize Roles 简单实现
apple151128的博客
12-17 4580
首先创建一个 BaseController ,让所有的Controller继承自BaseController 。 [Authorize] public class BaseController : Controller { }   系统登录需要一个 AccountController ,继承自BaseController ,并添加匿名访问标记 All
MVC5】普通权限+用户+角色
03-14 405
  前言: 最新开发项目要求做授权,项目是MVC+Webapi,这里只说MVC里的授权,初步学习授权内容,简单总结一下: 方法里设置权限示例: [Authorize] //普通授权 [Authorize(Roles = "admin")] //角色授权 [Authorize(Users = "admin")] //用户授权 【Main】核心代码1: //设置授权方式一(授权模式:通用授权:[Authorize]+用户授权:[Authorize(Users = "admin")]): /...
ASP.NET MVC5(五):身份验证、授权
weixin_30237719的博客
06-24 686
使用Authorize特性进行身份验证   通常情况下,应用程序都是要求用户登录系统之后才能访问某些特定的部分。在ASP.NET MVC中,可以通过使用Authorize特性来实现,甚至可以对整个应用程序全局使用Authorize特性。 Authorize的用法 本节以一个添加产品的示例来说明Authorize的使用方法。首先,创建Product类、添加属性(如下所示)并创建ProductsC...
IdentityServer4 指定角色授权(Authorize(Roles="admin"))
weixin_34248487的博客
06-01 1251
1. 业务场景 IdentityServer4 授权配置Client中的AllowedScopes,设置的是具体的 API 站点名字,也就是使用方设置的ApiName,示例代码: //授权中心配置 new Client { ClientId = "client_id_1", AllowedGrantTypes = GrantTypes.ResourceOwnerPassword, ...
ASP.NET MVC5
06-22
ASP.NET MVC5是一个基于微软.NET Framework的开源web应用程序框架,专为构建动态、数据驱动的Web应用程序而设计。它结合了Model-View-Controller(MVC)设计模式、ASP.NET的功能性和HTML5的能力,提供了更高效、灵活...
ASP.NET MVC 中实现基于角色权限控制的处理方法
01-01
但是,我们在实际的应用中所使用的大都是基于角色(Roles)的认证方式,NeedDinner中却未给出,本文给出具体实现(基于ASP.NET Forms验证)过程: step 1在完成UserName和Password认证后,向客户端写
详解ASP.NET MVC Form表单验证
10-22
ASP.NET MVC中,除了基本的表单验证,还可以实现基于角色和用户的权限验证。例如,使用特性(Attribute)如`[Authorize]`,`[RequestAuthorize]`等来限制特定Action或Controller的访问权限。 1. **角色验证**:`...
精通ASP.NET MVC 5及其源码
11-27
ASP.NET MVC 5 是微软开发的一个用于构建动态网站、Web 应用程序和服务的框架,它结合了模型-视图-控制器(MVC)设计模式、ASP.NET Web Pages 和 Web API,提供了强大的功能和灵活性。本教程“精通ASP.NET MVC 5 ...
ASP.NET MVC 5 网站开发之美
11-15
5. **身份验证与授权**:ASP.NET MVC 5内置了基于OWIN的身份验证中间件,支持多种身份验证方案,如OAuth、OpenID Connect等,同时也提供了角色权限管理,用于控制用户访问特定资源。 6. **Entity Framework**:...
ASP.NET MVC中基于角色权限控制管理(RBAC)
一个九零后程序猿开发日志
03-29 1175
用户登录后,可以根据用户ID获取用户所属的角色,从而获取用户的权限。在Action过滤器中,根据用户的角色权限表,判断用户是否有访问该Action的权限。管理员可以通过角色管理和权限管理界面,对角色权限进行添加、删除、修改等操作。在添加用户时,管理员可以为用户分配角色,从而授权用户访问对应的权限。在数据库中创建角色表和权限表,用于存储角色权限信息。角色表至少包含角色ID和角色名称两个字段,权限表至少包含权限ID和权限名称两个字段。在数据库中创建角色权限表,用于存储角色权限的关系。
关于ASP.NET MVC权限认证的一些总结
weixin_30883777的博客
05-21 130
最近在学ASP.NET MVC权限认证的一些东西,上网搜索了一阵,发现网上的方法大多数是以下几类: 一、FormsAuthentication.SetAuthCookie(admin.Name, false)或者是FormsAuthenticationTicket 感受:感觉FormsAuthentication.SetAuthCookie这种方法重在检查是否有用户登录等,需要检查...
Asp.net MVC 权限验证,以及是否允许匿名访问
weixin_30478757的博客
05-09 459
public class CheckUserAttribute : ActionFilterAttribute, IAuthorizationFilter { public void OnAuthorization(AuthorizationContext context) { if (this.IsAnonymousAc...
asp.net mvc4 中自动生成的权限管理表的说明
行梭鱼人
07-24 2078
1.asp.net mvc自带的权限表的创建是在InitializeSimpleMembershipAttribute.cs中实现的。 2.InitializeSimpleMembershipAttribute.cs using System; using System.Data.Entity; using System.Data.Entity.Infrastructure;
C# asp.net MVC 权限设计(续)
路漫漫 修远兮
11-15 4722
因为是转载文章 在此标明出处,以前有文章是转的没标明的请谅解,因为有些已经无法找到出处,或者与其它原因。 如有冒犯请联系本人,或删除,或标明出处。 因为好的文章,以前只想收藏,但连接有时候会失效,所以现在碰到好的直接转到自己这里。 原文 出处http://www.cnblogs.com/xiaoqi/archive/2011/01/24/1942880.html
Asp.net Mvc4默认权限详细(上)
weixin_33933118的博客
06-26 94
前言 上篇的菜鸟去重复之Sql的问题还没有得到满意的答案。如果哪位大哥有相关的资料解释,能够分享给我,那就太谢谢了。 以后每发表一篇博文我都会将以前遗留的问题在前言里指出,直到解决为止。 本文主要在于探讨一下Asp.net Mvc4默认生成的权限的详细内容。 介绍 在VS2012中创建一个默认的带有权限MVC4 Internet项目,如下图。 生成项目后点运行,在浏览器里点登陆。...
ASP.NET Core MVC 从入门到精通之鉴权授权基础
最新发布
绳锯木断,水滴石穿,专心写文,无问西东!!!
06-13 3257
经过前几篇文章的讲解,初步了解ASP.NET Core MVC项目创建,启动运行,以及命名约定,创建控制器,视图,模型,接收参数,传递数据ViewData,ViewBag,路由,页面布局,wwwroot和客户端库,Razor语法,EnityFrameworkCore与数据库,HttpContext,Request,Response,Session,序列化,文件上传,自动映射,Html辅助标签,模型校验等内容,今天继续讲解ASP.NET Core MVC 中。鉴权,又叫身份验证,确定用户身份的过程。
.Net MVC实现角色-API权限验证的一种方式
SCscHero的博客
04-04 593
阅文时长 | 1.15分钟 字数统计 | 1844.8字符 主要内容 | 1、引言&背景 2、部分设计分享 3、声明与参考资料 『.Net MVC实现角色-API权限验证的一种方式』 编写人 | SCscHero 编写时间 | 2022/3/27 PM9:31 文章类型 | 系列 完成度 | 已完成 座右铭 每一个伟大的事业,都有一个微不足道的开始。 一、引言&背景   完成度:100% a..
ASP.NET MVC4 自定义权限角色验证
shuai_wy的专栏
09-30 7063
ASP.NET MVC4 自定义权限角色验证。 自定义验证方法,自定义验证失败处理方法。 异步请求验证失败,返回JSON数据。 同步请求验证失败,跳转登录页。
深入学习ASP.NET MVC5
"ProASP.NET MVC5 是一本由 Adam Freeman 撰写的关于 ASP.NET MVC5 的专业书籍,涵盖了该框架的最新技术和实践。" 在 ASP.NET MVC5 中,我们探讨的是微软为Web应用程序开发提供的一个强大且灵活的框架。这个版本在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值