C# asp.net MVC 权限设计(续)

最新推荐文章于 2023-06-13 08:00:00 发布
最新推荐文章于 2023-06-13 08:00:00 发布
阅读量4.7k 收藏 7
点赞数
分类专栏: C# MVC4 or MVC5 [模块] web [模块]

因为是转载文章 在此标明出处,以前有文章是转的没标明的请谅解,因为有些已经无法找到出处,或者与其它原因。

如有冒犯请联系本人,或删除,或标明出处。

因为好的文章,以前只想收藏,但连接有时候会失效,所以现在碰到好的直接转到自己这里。

原文 出处http://www.cnblogs.com/xiaoqi/archive/2011/01/24/1942880.html


asp.net MVC 权限设计一文中没有demo放出来,应大家的要求,这里补充上文并放出demo。

 

几点说明:

 

    1、基于将角色与controller、action相关联来判断用户是否有权

    2、通过自定义AuthorizeAttribute实现

    3、demo 仅供参考,一些规则可以根据实际情况重新定义

 

简明需求

1、可以对每个action实现权限控制,并且可以在数据库动态配置

2、权限分为允许所有人访问、允许注册用户访问、允许\禁止特定角色人访问

 

数据库设计

image

 

在demo里不使用数据库,这里给出表对应的类

核心流程

image

 

我们见一个Database类来模拟数据库

来看我们的主要代码

   /// <summary>
/// 自定义AuthorizeAttribute
/// </summary>
public  class  UserAuthorizeAttribute : AuthorizeAttribute
{
 
     public  override  void  OnAuthorization(AuthorizationContext filterContext)
     {
         var  user = filterContext.HttpContext.Session[ "CurrentUser" ] as  User;
 
         // 用户为空,赋予Guest
         if  (user == null )
         {
             user = Database.Users.Find(u => u.Name == "Guest" );
         }
 
         var  controller = filterContext.RouteData.Values[ "controller" ].ToString();
         var  action = filterContext.RouteData.Values[ "action" ].ToString();
         var  isAllowed = this .IsAllowed(user, controller, action);
 
         if  (!isAllowed)
         {
             filterContext.RequestContext.HttpContext.Response.Write( "无权访问" );
             filterContext.RequestContext.HttpContext.Response.End();
         }
 
     }
 
     /// <summary>
     /// 判断是否允许访问
     /// </summary>
     /// <span name="user"> </span>用户
     /// <span name="controller"> </span>控制器
     /// <span name="action"> </span>action
     /// <returns>是否允许访问</returns>
     public  bool  IsAllowed(User user, string  controller, string  action)
     {
 
         // 找controllerAction
         var  controllerAction = Database.ControllerActions.Find(ca => ca.IsController == false  && ca.Name == action && ca.ControllName == controller);
 
         //action无记录,找controller
         if  (controllerAction == null )
         {
             controllerAction = Database.ControllerActions.Find(ca => ca.IsController && ca.Name == controller);
         }
 
         // 无规则
         if  (controllerAction == null )
         {
             return  true ;
         }
 
 
         // 允许没有角色的:也就是说允许所有人,包括没有登录的用户
         if  (controllerAction.IsAllowedNoneRoles)
         {
             return  true ;
         }
 
         // 允许所有角色:只要有角色,就可以访问
         if  (controllerAction.IsAllowedAllRoles)
         {
             var  roles = Database.UserRoles.FindAll(ur => ur.UserId == user.Id);
             if  (roles.Count > 0)
             {
                 return  true ;
             }
             else
             {
                 return  false ;
             }
         }
 
 
         // 选出action对应的角色
         var  actionRoles = Database.ControllerActionRoles.FindAll(ca => ca.ControllerActioId == controllerAction.Id).ToList();
 
         if  (actionRoles.Count == 0)
         {
             // 角色数量为0,也就是说没有定义访问规则,默认允许访问
             return  true ;
         }
 
         var  userHavedRolesids = Database.UserRoles.FindAll(ur => ur.UserId == user.Id).Select(ca => ca.RoleId).ToList();
 
         // 查找禁止的角色
         var  notAllowedRoles = actionRoles.FindAll(r => !r.IsAllowed).Select(ca => ca.RoleId).ToList();
         if  (notAllowedRoles.Count > 0)
         {
             foreach  ( int  roleId in  notAllowedRoles)
             {
                 // 用户的角色在禁止访问列表中,不允许访问
                 if  (userHavedRolesids.Contains(roleId))
                 {
                     return  false ;
                 }
             }
         }
 
         // 查找允许访问的角色列表
         var  allowRoles = actionRoles.FindAll(r => r.IsAllowed).Select(ca => ca.RoleId).ToList();
         if  (allowRoles.Count > 0)
         {
             foreach  ( int  roleId in  allowRoles)
             {
                 // 用户的角色在访问的角色列表
                 if  (userHavedRolesids.Contains(roleId))
                 {
                     return  true ;
                 }
             }
         }
 
         // 默认禁止访问
         return  false ;
     }
 
}

测试

[HandleError]
[UserAuthorize]
public  class  HomeController : Controller
{
     public  ActionResult Index()
     {
         ViewData[ "Message" ] = "欢迎使用 ASP.NET MVC!" ;
 
         return  View();
     }
     public  ActionResult Admin()
     {
         ViewData[ "Message" ] = "只有管理员才能访问!" ;
 
         return  View( "Index" );
     }
     public  ActionResult User()
     {
         ViewData[ "Message" ] = "只要是注册用户就能访问!" ;
 
         return  View( "Index" );
     }
     public  ActionResult UserOnly()
     {
         ViewData[ "Message" ] = "只能是User才能能访问!" ;
 
         return  View( "Index" );
     }
 
     public  ActionResult Login( string  user)
     {
         Session[ "CurrentUser" ] = Database.Users.Find(u => u.Name == user);
         if  (Session[ "CurrentUser" ] != null )
         {
             ViewData[ "Message" ] = "你已登录为"  + user;
         }
 
         return  View( "Index" );
     }
 
 
     public  ActionResult About()
     {
         return  View();
     }
}

 

1、登录为Admin

image

 

访问Admin

image

 

访问User

image

 

访问UserOnly

image

 

2、登录为User

image

 

访问Admin

image

 

访问User

image

访问UserOnly

image

 

demo下载 MVCRole.rar


橙色阳光
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
VS2015中的MVC项目改用本机IP地址访问
why23825的专栏
01-07 4640
在对最近的一个C#项目(用的是Microsoft Visual Studio 2015 MVC)做内部联测时,发现无法用本机默认IP地址127.0.0.1访问,只能用localhost访问(IIS Express默认的就是这个地址),导致无法配置花生壳,不便于异地的同事联测。 一、现象 项目启动后,只能用localhost:50967访问,用本机IP地址访问时报“HTTP Error
C# MVC权限框架 流程框架
04-16
C# MVC权限框架 包含工作流程 用户管理 菜单管理 部门管理 权限管理 前端采用layui 数据库房屋采用EF,
AspNet MVC过滤器+实例
左右为南的专栏
09-24 736
过滤器在请求管线注入额外的逻辑,提供简单优雅的方法实现横切点关注(AOP), 例如日志,授权,缓存等应用.通过AOP可以减少在实际的业务逻辑中参杂过多非直接业务逻辑功能的代码, 让某个行为或者动作更加专注于自身的功能逻辑,例如统计Action, 专注于数据的统计分析而不要关注日志以及调用的身份验证和授权问题. 1.过滤器类型 AspNet MVC中包含三种常用的过滤器分别是:Action
关于ASP.NET MVC权限认证的一些总结
weixin_30883777的博客
05-21 130
最近在学ASP.NET MVC权限认证的一些东西,上网搜索了一阵,发现网上的方法大多数是以下几类: 一、FormsAuthentication.SetAuthCookie(admin.Name, false)或者是FormsAuthenticationTicket 感受:感觉FormsAuthentication.SetAuthCookie这种方法重在检查是否有用户登录等,需要检查...
ASP.NET MVC中基于角色的权限控制管理(RBAC)
一个九零后程序猿开发日志
03-29 1169
用户登录后,可以根据用户ID获取用户所属的角色,从而获取用户的权限。在Action过滤器中,根据用户的角色和权限表,判断用户是否有访问该Action的权限。管理员可以通过角色管理和权限管理界面,对角色和权限进行添加、删除、修改等操作。在添加用户时,管理员可以为用户分配角色,从而授权用户访问对应的权限。在数据库中创建角色表和权限表,用于存储角色和权限信息。角色表至少包含角色ID和角色名称两个字段,权限表至少包含权限ID和权限名称两个字段。在数据库中创建角色权限表,用于存储角色和权限的关系。
asp.net mvc4 中自动生成的权限管理表的说明
行梭鱼人
07-24 2077
1.asp.net mvc自带的权限表的创建是在InitializeSimpleMembershipAttribute.cs中实现的。 2.InitializeSimpleMembershipAttribute.cs using System; using System.Data.Entity; using System.Data.Entity.Infrastructure;
C# asp.net MVC 图片上传 多图片
10-24
C# ASP.NET MVC框架中实现多图片上传是一项常见的任务,尤其在开发涉及用户交互、内容管理和电子商务的应用程序时。这个技术涉及到文件处理、表单提交、数据验证、存储优化等多个方面。以下是对这一主题的详细说明...
ASP.NET MVC5
06-22
ASP.NET MVC5中,开发者可以使用C#编写控制器、模型和视图的代码,利用LINQ进行数据查询,以及使用各种设计模式来优化代码结构。 ASP.NET MVC5包含了一些关键特性,如: 1. **身份认证和授权**:内置的OWIN...
ASP.NET LayUI权限管理系统源码
06-07
4、该权限系统精确控制到每一条命令,并且采用缓存机制减少多余的数据库权限验证操作。 三、初次运行说明 在文件夹里有说明文档。 四、注意事项 1、同一个账号同时多个浏览器(包括手机浏览器)登陆,后者挤掉...
ASP.NET MVC 5 网站开发之美
11-15
ASP.NET MVC 5 是微软开发的一个强大的Web应用程序框架,它结合了ASP.NET Web Forms、Model-View-Controller(MVC设计模式以及单页应用程序(SPA)架构的优点,为开发者提供了一个高效、灵活且可测试的平台来构建...
ASP.NET MVC4通用企业门户网站源码solver.zip
09-21
ASP.NET MVC4是一种基于微软.NET Framework的开源web应用程序框架,专为构建动态、数据驱动的Web应用程序而设计。它结合了ASP.NET的功能性、MVC(Model-View-Controller)设计模式以及razor视图引擎的简洁性,提供了...
ASP.NET Core MVC 从入门到精通之鉴权授权基础
最新发布
绳锯木断,水滴石穿,专心写文,无问西东!!!
06-13 3255
经过前几篇文章的讲解,初步了解ASP.NET Core MVC项目创建,启动运行,以及命名约定,创建控制器,视图,模型,接收参数,传递数据ViewData,ViewBag,路由,页面布局,wwwroot和客户端库,Razor语法,EnityFrameworkCore与数据库,HttpContext,Request,Response,Session,序列化,文件上传,自动映射,Html辅助标签,模型校验等内容,今天继讲解ASP.NET Core MVC 中。鉴权,又叫身份验证,确定用户身份的过程。
Asp.net MVC 权限验证,以及是否允许匿名访问
weixin_30478757的博客
05-09 459
public class CheckUserAttribute : ActionFilterAttribute, IAuthorizationFilter { public void OnAuthorization(AuthorizationContext context) { if (this.IsAnonymousAc...
Asp.net Mvc4默认权限详细(上)
weixin_33933118的博客
06-26 94
前言 上篇的菜鸟去重复之Sql的问题还没有得到满意的答案。如果哪位大哥有相关的资料解释,能够分享给我,那就太谢谢了。 以后每发表一篇博文我都会将以前遗留的问题在前言里指出,直到解决为止。 本文主要在于探讨一下Asp.net Mvc4默认生成的权限的详细内容。 介绍 在VS2012中创建一个默认的带有权限MVC4 Internet项目,如下图。 生成项目后点运行,在浏览器里点登陆。...
asp.net mvc5 基于角色的权限验证
走错路的程序员
10-11 909
第一步登录的时候写入标准的权限信息到Cookie中. [HttpPost] public ActionResult DoLogin(string username, string password, string yzm, string returnUrl) { SysUser user = DB.FirstOrDefault(x =&...
C#怎么使用代理IP
随便写写
05-31 1578
这里,WebProxy 和 HttpClientHandler.Proxy 都是代理类,用来设置代理的地址和端口。IP 和端口都需要替换为实际的代理地址和端口。需要注意的是,代理服务器需要在本机所在的网络中可达,否则会导致请求失败。2. 使用 HttpClient 设置代理。1. 使用 WebClient 设置代理。
C# ASP.NET 最常用的通用权限的3个方法例子展示(每个功能一行代码实现)
通用权限管理系统
07-08 1292
C# ASP.NET 最常用的通用权限的3个方法例子展示。 参考代码如下:代码//------------------------------------------------------------<br />// All Rights Reserved , Copyright (C) 2010 , Jirisoft , Ltd. <br />//------------------------------------------------------------<br /><br />using S
ASP.net MVC 基于角色的权限控制系统的实现
gz19871113的专栏
09-15 639
一、引言 我们都知道ASP.net mvc权限控制都是实现AuthorizeAttribute类的OnAuthorization方法。 下面是最常见的实现方式: public class CustomAuthorizeAttribute : AuthorizeAttribute { public override void OnAuthorization(AuthorizationContext filterContext) { i
使用mvc进行权限控制
m0_59277582的博客
08-24 410
拦截器 将用户请求同意拦截在拦截器中,在拦截器中定义规则,如果该请求不满足过滤规则,则返回首页,满足这放行。 在Spring MVC中拦截请求是通过处理器拦截器HandlerInterceptor来实现的,它拦截的目标是请求的地址。在Spring MVC中定义一个拦截器,需要实现HandlerInterceptor接口。 HandlerInterceptor 源码解析: 1.preHandle()方法 该方法将在请求处理之前被调用 2.postHandle()方法 该方法将在当.
深入解析ASP.NET MVC 5框架
ASP.NET MVC 5中,开发者可以通过C#的属性来定义路由,这是一个显著的进步,它使得路由配置更加灵活且易于理解。另外,框架允许过滤器的重写,这在处理权限控制和异常处理等场景下特别有用,增强了应用程序的灵活...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值