ASP.NET MVC中基于角色的权限控制管理(RBAC)

最新推荐文章于 2024-08-03 17:00:03 发布
最新推荐文章于 2024-08-03 17:00:03 发布
阅读量1.2k 收藏 6
点赞数
文章标签: asp.net mvc 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33285360/article/details/129837803
版权
  1. 创建角色和权限表

在数据库中创建角色表和权限表,用于存储角色和权限信息。角色表至少包含角色ID和角色名称两个字段,权限表至少包含权限ID和权限名称两个字段。

​
CREATE TABLE [dbo].[Roles](
[RoleId] [int] IDENTITY(1,1) NOT NULL,
[RoleName] nvarchar NOT NULL,
CONSTRAINT [PK_Roles] PRIMARY KEY CLUSTERED
(
[RoleId] ASC
)WITH (PAD_INDEX = OFF, STATISTICS_NORECOMPUTE = OFF, IGNORE_DUP_KEY = OFF, ALLOW_ROW_LOCKS = ON, ALLOW_PAGE_LOCKS = ON) ON [PRIMARY]
) ON [PRIMARY]

CREATE TABLE [dbo].[Permissions](
[PermissionId] [int] IDENTITY(1,1) NOT NULL,
[PermissionName] nvarchar NOT NULL,
CONSTRAINT [PK_Permissions] PRIMARY KEY CLUSTERED
(
[PermissionId] ASC
)WITH (PAD_INDEX = OFF, STATISTICS_NORECOMPUTE = OFF, IGNORE_DUP_KEY = OFF, ALLOW_ROW_LOCKS = ON, ALLOW_PAGE_LOCKS = ON) ON [PRIMARY]
) ON [PRIMARY]

​
  1. 创建用户角色表

在数据库中创建用户角色表,用于存储用户和角色的关系。该表至少包含用户ID和角色ID两个字段。

CREATE TABLE [dbo].[UserRoles](
[UserId] [int] NOT NULL,
[RoleId] [int] NOT NULL,
CONSTRAINT [PK_UserRoles] PRIMARY KEY CLUSTERED
(
[UserId] ASC,
[RoleId] ASC
)WITH (PAD_INDEX = OFF, STATISTICS_NORECOMPUTE = OFF, IGNORE_DUP_KEY = OFF, ALLOW_ROW_LOCKS = ON, ALLOW_PAGE_LOCKS = ON) ON [PRIMARY]
) ON [PRIMARY]
  1. 创建角色权限表

在数据库中创建角色权限表,用于存储角色和权限的关系。该表至少包含角色ID和权限ID两个字段。

CREATE TABLE [dbo].[RolePermissions](
[RoleId] [int] NOT NULL,
[PermissionId] [int] NOT NULL,
CONSTRAINT [PK_RolePermissions] PRIMARY KEY CLUSTERED
(
[RoleId] ASC,
[PermissionId] ASC
)WITH (PAD_INDEX = OFF, STATISTICS_NORECOMPUTE = OFF, IGNORE_DUP_KEY = OFF, ALLOW_ROW_LOCKS = ON, ALLOW_PAGE_LOCKS = ON) ON [PRIMARY]
) ON [PRIMARY]
  1. 实现权限验证

在MVC中,实现权限验证通常是通过Action过滤器来实现的。创建一个继承自ActionFilterAttribute的类,重写OnActionExecuting方法,判断当前用户是否拥有访问该Action的权限。如果没有权限,可以跳转到错误页面或者返回错误信息。

​
public class RBACAttribute : ActionFilterAttribute
{
public override void OnActionExecuting(ActionExecutingContext filterContext)
{
var user = filterContext.HttpContext.User.Identity;
if (!user.IsAuthenticated)
{
filterContext.Result = new HttpUnauthorizedResult();
return;
}

    var permission = filterContext.ActionDescriptor.ControllerDescriptor.ControllerName + "." + filterContext.ActionDescriptor.ActionName;
    var roles = GetRolesByUser(user.Name);

    if (!HasPermission(roles, permission))
    {
        filterContext.Result = new HttpStatusCodeResult(HttpStatusCode.Forbidden);
        return;
    }

    base.OnActionExecuting(filterContext);
}

private bool HasPermission(List<string> roles, string permission)
{
    using (var db = new ApplicationDbContext())
    {
        foreach (var role in roles)
        {
            var roleId = db.Roles.Where(r => r.RoleName == role).Select(r => r.RoleId).FirstOrDefault();
            if (roleId == 0) continue;

            var permissionId = db.Permissions.Where(p => p.PermissionName == permission).Select(p => p.PermissionId).FirstOrDefault();
            if (permissionId == 0) continue;

            var count = db.RolePermissions.Count(rp => rp.RoleId == roleId && rp.PermissionId == permissionId);
            if (count > 0) return true;
        }
    }
    return false;
}

private List<string> GetRolesByUser(string userName)
{
    var roles = new List<string>();
    using (var db = new ApplicationDbContext())
    {
        var userId = db.Users.Where(u => u.UserName == userName).Select(u => u.Id).FirstOrDefault();
        if (userId == null) return roles;

        roles = db.UserRoles.Where(ur => ur.UserId == userId).Select(ur => ur.Role.RoleName).ToList();
    }
    return roles;
}

}

​

在Controller中使用RBACAttribute标记需要进行权限验证的Action:

[RBAC]
public ActionResult Index()
{
return View();
}
  1. 实现角色管理和权限管理

管理员可以通过角色管理和权限管理界面,对角色和权限进行添加、删除、修改等操作。在添加用户时,管理员可以为用户分配角色,从而授权用户访问对应的权限。

​
public class RolesController : Controller
{
private readonly ApplicationDbContext _db = new ApplicationDbContext();

// GET: Roles
public ActionResult Index()
{
    var roles = _db.Roles.ToList();
    return View(roles);
}

// GET: Roles/Create
public ActionResult Create()
{
    return View();
}

// POST: Roles/Create
[HttpPost]
[ValidateAntiForgeryToken]
public ActionResult Create(Role role)
{
    if (ModelState.IsValid)
    {
        _db.Roles.Add(role);
        _db.SaveChanges();
        return RedirectToAction("Index");
    }

    return View(role);
}

// GET: Roles/Edit/5
public ActionResult Edit(int? id)
{
    if (id == null)
    {
        return new HttpStatusCodeResult(HttpStatusCode.BadRequest);
    }
    var role = _db.Roles.Find(id);
    if (role == null)
    {
        return HttpNotFound();
    }
    return View(role);
}

// POST: Roles/Edit/5
[HttpPost]
[ValidateAntiForgeryToken]
public ActionResult Edit(Role role)
{
    if (ModelState.IsValid)
    {
        _db.Entry(role).State = EntityState.Modified;
        _db.SaveChanges();
        return RedirectToAction("Index");
    }
    return View(role);
}

// GET: Roles/Delete/5
public ActionResult Delete(int? id)
{
    if (id == null)
    {
        return new HttpStatusCodeResult(HttpStatusCode.BadRequest);
    }
    var role = _db.Roles.Find(id);
    if (role == null)
    {
        return HttpNotFound();
    }
    return View(role);
}

// POST: Roles/Delete/5
[HttpPost, ActionName("Delete")]
[ValidateAntiForgeryToken]
public ActionResult DeleteConfirmed(int id)
{
    var role = _db.Roles.Find(id);
    _db.Roles.Remove(role);
    _db.SaveChanges();
    return RedirectToAction("Index");
}

protected override void Dispose(bool disposing)
{
    if (disposing)
    {
        _db.Dispose();
    }
    base.Dispose(disposing);
}

}

public class PermissionsController : Controller
{
private readonly ApplicationDbContext _db = new ApplicationDbContext();

// GET: Permissions
public ActionResult Index()
{
    var permissions = _db.Permissions.ToList();
    return View(permissions);
}

// GET: Permissions/Create
public ActionResult Create()
{
    return View();
}

// POST: Permissions/Create
[HttpPost]
[ValidateAntiForgeryToken]
public ActionResult Create(Permission permission)
{
    if (ModelState.IsValid)
    {
        _db.Permissions.Add(permission);
        _db.SaveChanges();
        return RedirectToAction("Index");
    }

    return View(permission);
}

// GET: Permissions/Edit/5
public ActionResult Edit(int? id)
{
    if (id == null)
    {
        return new HttpStatusCodeResult(HttpStatusCode.BadRequest);
    }
    var permission = _db.Permissions.Find(id);
    if (permission == null)
    {
        return HttpNotFound();
    }
    return View(permission);
}

// POST: Permissions/Edit/5
[HttpPost]
[ValidateAntiForgeryToken]
public ActionResult Edit(Permission permission)
{
    if (ModelState.IsValid)
    {
        _db.Entry(permission).State = EntityState.Modified;
        _db.SaveChanges();
        return RedirectToAction("Index");
    }
    return View(permission);
}

// GET: Permissions/Delete/5
public ActionResult Delete(int? id)
{
    if (id == null)
    {
        return new HttpStatusCodeResult(HttpStatusCode.BadRequest);
    }
    var permission = _db.Permissions.Find(id);
    if (permission == null)
    {
        return HttpNotFound();
    }
    return View(permission);
}

// POST: Permissions/Delete/5
[HttpPost, ActionName("Delete")]
[ValidateAntiForgeryToken]
public ActionResult DeleteConfirmed(int id)
{
    var permission = _db.Permissions.Find(id);
    _db.Permissions.Remove(permission);
    _db.SaveChanges();
    return RedirectToAction("Index");
}

protected override void Dispose(bool disposing)
{
    if (disposing)
    {
        _db.Dispose();
    }
    base.Dispose(disposing);
}

}

​
  1. 实现用户登录

用户登录后,可以根据用户ID获取用户所属的角色,从而获取用户的权限。在Action过滤器中,根据用户的角色和权限表,判断用户是否有访问该Action的权限。

​
[HttpPost]
[AllowAnonymous]
[ValidateAntiForgeryToken]
public async Task<ActionResult> Login(LoginViewModel model, string returnUrl)
{
if (!ModelState.IsValid)
{
return View(model);
}

var user = await UserManager.FindAsync(model.UserName, model.Password);

if (user == null)
{
    ModelState.AddModelError("", "Invalid login attempt.");
    return View(model);
}

await SignInAsync(user, model.RememberMe);

var roles = GetRolesByUser(user.UserName);
HttpContext.Session["Roles"] = roles;

return RedirectToLocal(returnUrl);

}

private List<string> GetRolesByUser(string userName)
{
var roles = new List<string>();
using (var db = new ApplicationDbContext())
{
var userId = db.Users.Where(u => u.UserName == userName).Select(u => u.Id).FirstOrDefault();
if (userId == null) return roles;

    roles = db.UserRoles.Where(ur => ur.UserId == userId).Select(ur => ur.Role.RoleName).ToList();
}
return roles;

}

​

.NET-小棠
关注
ASP.NET MVC5+EF6+EasyUI 后台管理系统(21)-权限管理系统-跑通整个系统
weixin_34168880的博客
12-11 116
系列目录 这一节我们来跑通整个系统,验证的流程,通过AOP切入方式,在访问方法之前,执行一个验证机制来判断是否有操作权限(如:增删改等) 原理:通过MVC自带筛选器,在筛选器分解路由的Action和controller来验证是否有权限。 首先我们要理解一下筛选器 筛选器的由来及用途有时,您需要在调用操作方法之前或运行操作方法之后执行逻辑。 为了对此提供支持,ASP.NET MVC 提...
ASP.NET+MVC下基于RBAC权限认证的设计与实现
08-22
ASP.NET+MVC下基于RBAC权限认证的设计与实现
c# .net core项目角色授权机制
最新发布
不积跬步,无以至千里;不积小流,无以成江海;千里之行,始于足下
08-03 323
角色授权机制是确保应用程序安全性的重要组成部分,它允许开发者根据用户的角色来限制对应用程序不同资源的访问。
ASP.NET MVC实现权限控制
weixin_34405354的博客
12-22 622
这篇分享一下 ASP.NET MVC权限控制。也就是说某一用户登录之后,某一个用户是否有权限访问Controller,Action(操作),视图等想实现这些功能,需要在数据库创建好几个表:[User],[Module],[Form],[Action],[Role],[RoleModule],[UserModule],[UserRole]。 [User]:是存储用户信息。[Module]:是存储A...
ASP.NET 系列:RBAC权限设计
weixin_34226706的博客
01-30 368
权限系统的组成通常包括RBAC模型、权限验证、权限管理以及界面访问控制。现有的一些权限系统分析通常存在以下问题: (1)没有权限的设计思路 认为所有系统都可以使用一套基于Table设计的权限系统。事实上设计权限系统的重点是判断角色的稳定性和找出最小授权需求。角色的稳定性决定了系统是通过角色判断权限还是需要引入RBAC方式,最小授权需求防止我们过度设计导致超出授权需求的权限粒度。 (2)没有独...
asp.net MVC 权限设计
weixin_34010949的博客
01-07 231
几点说明:       1、该权限系统是个网站用的,用户简单,因此不涉及到部门这些信息     2、基于将角色与controller、action相关联来判断用户是否有权     3、通过重载AuthorizeAttribute实现   数据库设计:     表说明   ControllerAction      Name是control...
一个基于Asp.Net MVC权限方案
weixin_34417183的博客
06-20 105
一个基于Asp.Net MVC权限方案 最近这段时间博客园有几位同学在探讨通用的权限方案,偶闲来无事,也来凑凑热闹,下面简单说一下我的简单解决方案,基于AOP的。由于使用了Asp.Net MVC 开发,可能需要先对MVC有些了解,思路都是差不多的。 1.数据结构 Mad_Popedom为权限表,Control记录控制器名,Ac...
ASP.NET MVC 实现基于角色权限控制的处理方法
01-01
但是,我们在实际的应用所使用的大都是基于角色(Roles)的认证方式,NeedDinner却未给出,本文给出具体实现(基于ASP.NET Forms验证)过程: step 1在完成UserName和Password认证后,向客户端写
ASP.NET MVC应用程序基于自定义角色的访问控制RBAC)-第3部分(扩展ASP.NET Identity 2.0)
04-08
ASP.NET MVC应用程序,基于自定义角色的访问控制(Role-Based Access Control,简称RBAC)是实现安全性的重要手段。本篇文章将深入探讨如何利用ASP.NET Identity 2.0框架来扩展并集成自定义角色的访问控制。ASP...
ASP.NET MVC权限管理系统源代码
09-07
在本资源,"ASP.NET MVC权限管理系统源代码"是一个使用该框架开发的完整项目,旨在实现高效且精细的权限管理功能。 首先,ASP.NET MVC遵循模型-视图-控制器(MVC)设计模式,这是一种将业务逻辑、用户界面和数据...
Asp.net RBAC membership framework RBAC的具体实现,以及发布前的一些话
weixin_30363817的博客
09-22 118
本系统已经送给一些网友进行小规模的测试了,争取国庆节发吧。起初只是随便发一下看看有没有人要,结果才发现发网上比压力很大阿,稍微做得不好,就会有人指出。所以水平不足之处还望大家体谅。 做这个系统的初衷是抛砖引玉。我想只要有项目经验的程序员,都有做过类似的系统了,可是我翻遍了互联网都没有看到有ASP.net2.0的RBAC具体实现。 我水平也有限,但是想到可能还有人也找同样...
ASP. NET MVC下基于RBAC 权限认证的设计与实现 (2011年)
05-14
介绍了基于角色的访问控制模型,阐述了用户、角色权限之间的关系。讨论了MVC模型及其三大组成部分的作用与职能,介绍了以MVC模型为基础的微软ASP. NET MVC 框架。针对ASP. NET MVC下基于RBAC权限认证提出了一种实用可行的解决方案。该方案引入了角色的概念,实现了用户与权限的逻辑分离,以便适应大多数应用系统对用户访问控制的需求。
asp.net RBAC通用权限管理
08-28
asp.net RBAC通用权限管理支持VS2005 、SQL200&SQL2005
ASP.NET MVC权限管理系统源码
01-01
asp.net MVC开发的权限管理系统,对学习MVC很有用哦
asp.net mvc 快速开发框架权限管理系统
08-10
快速开发框架权限管理系统 适合新手学习
asp.net core mvc权限控制:在视图控制操作权限
08-31
本文主要介绍了asp.net core mvc权限控制:在视图控制操作权限。具有很好的参考价值,下面跟着小编一起来看下吧
ASP.NET MVC实现权限管理以及权限分配
zhengjinwu123的博客
06-03 4311
权限管理与分配至少要有三张表 然而 往往难住我们的并不是数据库的设计而是后台的实现  //查询用户所具有的权限         public List Getprenisson(int userid) {             ptestEntities pst = new ptestEntities();                    string sql
ASP.NET MVC 如何实现基于角色权限控制
weixin_34008784的博客
02-27 285
ASP.NET MVC,通过使用其所提供的内置 [Authorize] public ActionResult Index() 标记的方式,可以实现所标记的ACTION必须是认证用户才能访问; 通过使用 [Authorize(Users="username")] 的方式,可以实现所标记的ACTION必须是某个具体的用户才能访问,以上两种方式使用起来非常方便,在N...
ASP.NET MVC 基于页面的权限管理
weixin_34032621的博客
08-15 221
  菜单表 namespace AspNetMvcAuthDemo1.Models { public class PermissionItem { public int ID { set; get; } public int PermissionID ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值