ASP.NET MVC4 自定义权限(角色)验证

最新推荐文章于 2024-06-11 21:47:09 发布
最新推荐文章于 2024-06-11 21:47:09 发布
阅读量7.1k 收藏 20
点赞数 3
分类专栏: web开发 net-mvc 走进神奇的ASP.NET MVC4 文章标签: mvc mvc4 asp.net
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shuai_wy/article/details/78144572
版权

开发系统的时候,两个基本的模块是少不了的,那就是 —— 身份验证 和权限。上一篇文章我们介绍了ASP.NET MVC 身份验证,今天我们来说一下权限管理。

1. 需求:

当普通用户 进行编辑、删除操作时,系统拒绝用户的访问,若访问为异步操作,则返回 JSON数据,给出提示消息(权限不足),若为同步操作,则跳转登录页。

2. 效果:

当我以普通用户身份(user)登陆后,进行删除操作,系统拒绝了我的操作,并将消息返回给了我。

下面我们一步步介绍一下是如何实现的。

权限管理

3. 自定义实现的实现

3.1 代码效果

当我 希望 Create方法只能 管理员具有权限的创建的时候,在该方法 加上 这个特性。RoleAuthorize 是我们自定义 的权限过滤器,下一小节中将介绍它。将该特性放在 Action,将对请求进行过滤,不符合权限请求,将被筛选。

其实 权限过滤器 它也属于过滤器的范畴

权限控制代码

3.2 实现原理

ASP.NET MVC 自定义权限控制,是通过 继承 AuthorizeAttribute 类来实现的。下面介绍一下 AuthorizeAttribute 的核心方法,需要我们进行复写,自定义。
1、OnAuthorization: 核心方法,权限过滤器的入口。
2、AuthorizeCore : 核心验证方法,验证的自定义逻辑要放在这个方法里。
3、HandleUnauthorizedRequest : 验证失败后,调用的处理方法,处理验证失败,放在这个方法里。

3.3 实现代码

下面是代码,在这儿简单介绍一下 自定义权限验证的逻辑。

1、 复写 OnAuthorization 方法,在该方法里 执行父类的OnAuthorization方法。(个人感觉可以省略)
2、复写 AuthorizeCore方法,上面已经介绍过了,这个方法里 描述的是核心验证逻辑,父类的
OnAuthorization 里 是调用了 AuthorizeCore 这个方法去 验证 是否具有权限的。

这里还涉及到了一点 多态 的 知识(我们在 复写 父类的方法后,父类执行 AuthorizeCore 的方法,是子类的AuthorizeCore 的方法)

3、父类的 OnAuthorization 在使用 子类AuthorizeCore 验证后,验证成功后,会让请求 继续向下执行,

如果失败,与上面同样的道理将会调用子类的HandleUnauthorizedRequest方法,去处理不具有权限
的请求。

上面介绍了原理,下面我简单说一下 是 如何自定义AuthorizeCore验证方法的,以及验证失败后是如
何去处理的HandleUnauthorizedRequest

AuthorizeCore 验证方法思路:

  • 在这个方法里首先 httpContext.Request.IsAuthenticated 进行身份验证,身份验证通过之后;
  • 获取身份验证的Cookie 并将 我存在cookie里的用户信息,提取出来。(我存储了 用户名,角色,ID,头像等)
  • 获取到用户信息之后,你允许什么样的用户通过呐?那就是你随意自定义了,比如说:我定义的允许就是 你的权限(RoleID)大于我设置的权限,那你就可以通过,否则我就返回false,而后就进入了 HandleUnauthorizedRequest方法。

HandleUnauthorizedRequest 验证失败请求处理 思路

  • 如果未异步请求,使用 filterContext.Result返回Json 数据。
  • 如果未同步请求,使用 base.HandleUnauthorizedRequest(filterContext) 父类的处理方法去解决就可以了(父类的处理方式是跳 登录页)
/// <summary>
/// 自定义权限(角色)验证
/// </summary>
public class RoleAuthorizeAttribute: AuthorizeAttribute
{
     /// <summary>
     /// 验证入口
     /// </summary>
     /// <param name="filterContext"></param>
     public override void OnAuthorization(AuthorizationContext filterContext)
     {
         base.OnAuthorization(filterContext);
     }

     /// <summary>
     /// 验证核心代码
     /// </summary>
     /// <param name="httpContext"></param>
     /// <returns></returns>
     protected override bool AuthorizeCore(HttpContextBase httpContext)
     {
         byte roleid = 0;
         AdminModel loginUser = new AdminModel();
         if (! httpContext.Request.IsAuthenticated)
         {
             //非异步请求,跳转登录页,异步请求则交给身份验证过滤器处理(代码在执行的时候,将先执行身份验证,也就是AuthorizeAttribute类,而后才会执行过滤器。 所以如果说,身份验证是通过 过滤器实现的话,这一步判断是必须的。)
             if (!httpContext.Request.IsAjaxRequest())
              {
                  FormsAuthentication.RedirectToLoginPage();//重定向会登录页
              }
              return false;//未登录返回 false
         }
         else
         {
             //登录状态获取用户信息
             var cookie = httpContext.Request.Cookies[FormsAuthentication.FormsCookieName];
             var ticket = FormsAuthentication.Decrypt(cookie.Value);
             loginUser = new JavaScriptSerializer().Deserialize<AdminModel>(ticket.UserData);
             roleid = FrameworkStatic.GetRoleID(this.Roles);
         }
         return IsAllow(loginUser.RoleID, roleid);
     }

     /// <summary>
     /// 验证失败处理
     /// </summary>
     /// <param name="filterContext"></param>
     protected override void HandleUnauthorizedRequest(AuthorizationContext filterContext)
     {
         if (filterContext.HttpContext.Request.IsAjaxRequest())
         {
             filterContext.Result = new JsonResult
             {
                 Data = new
                 {
                     Status = -1,
                     Message = "权限不足,服务器已拒绝您的操作!"
                 },
                 JsonRequestBehavior = JsonRequestBehavior.AllowGet
             };
         }
         else
             base.HandleUnauthorizedRequest(filterContext);
         return;
     }

     /// <summary>
     /// 判断当前用户权限是否大于目标操作权限(权限向下兼容)
     /// </summary>
     /// <param name="currentRoleId">当前角色</param>
     /// <param name="targetRoleId">目标角色</param>
     /// <returns>是否允许</returns>
     private bool IsAllow(byte currentRoleId,byte targetRoleId)
     {
         return currentRoleId >= targetRoleId;
     }
}

参考博文

权限系统控制实现(推荐)

其他参考博文:
http://www.cnblogs.com/duanxian/p/5712680.html(重写无权限访问方法)
http://blog.csdn.net/gulijiang2008/article/details/8142000(大体思路)
http://www.cnblogs.com/landeanfen/p/5287064.html
http://blog.csdn.net/gulijiang2008/article/details/8142000

超帅的菜鸟博主
关注
  • 3
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 7
    评论
专栏目录
Asp.net MVC中的全局权限验证方法及实现
King-Bond's Space
02-22 5779
开发过MVC的人都知道,MVC是三个单词的缩写,分别为: 模型(Model),视图(View)和控制Controller)。 MVC模式的目的就是实现Web系统的职能分工。 Model层实现系统中的业务逻辑。 View层用于与用户的交互。 Controller层是Model与View之间沟通的桥梁,它可以分派用户的请求并选择恰当的视图以用于显示,同时它也可以解释用户的输入并将它们映射为模型层可执行
ASP.NET MVC4通用企业门户网站源码solver.zip
09-21
4. **路由系统**:ASP.NET MVC4的路由系统允许开发者自定义URL模式,使得URL更具描述性和可读性,同时也方便搜索引擎优化(SEO)。 5. **Entity Framework**:作为.NET Framework的一部分,Entity Framework是一个...
基于FormsAuthentication的用户、角色身份认证
weixin_30522183的博客
11-15 620
一般情况下,在我们做访问权限管理的时候,会把用户的正确登录后的基本信息保存在Session中,以后用户每次请求页面或接口数据的时候,拿到 Session中存储的用户基本信息,查看比较他有没有登录和能否访问当前页面。 Session的原理,也就是在服务器端生成一个SessionID对应了存储的用户数据,而SessionID存储在Cookie中,客户端以后每次请求都会带...
ASP.NET Core自定义认证和授权搭建流程(使用JWT)
最新发布
woshihedayu的博客
06-11 1456
return new Result < T >(ResultCode . SUCCESS , "成功" , data);return new Result(ResultCode.SUCCESS, "成功", data);这里面需要定义一个类,继承IAuthenticationHandler接口,并实现AuthenticateAsync、ChallengeAsync、ForbidAsync、InitializeAsync方法if (!else。
asp.net mvc5 基于角色权限验证
走错路的程序员
10-11 943
第一步登录的时候写入标准的权限信息到Cookie中. [HttpPost] public ActionResult DoLogin(string username, string password, string yzm, string returnUrl) { SysUser user = DB.FirstOrDefault(x =&...
[ASP.NET MVC] 利用自定义的AuthenticationFilter实现Basic认证
weixin_34050389的博客
04-16 156
很多情况下目标Action方法都要求在一个安全上下文中被执行,这里所谓的安全上下文主要指的是当前请求者是一个经过授权的用户。授权的本质就是让用户在他许可的权限范围内做他能够做的事情,授权的前提是请求者是一个经过认证的用户。质询-应答(Chanllenge-Response)”是用户认证采用的一种常用的形式,认证方向被认证方发出质询以要求其提供用于实施认证的用户凭证,而被认证方提供相应的凭证以作为对...
ASP.NET MVC权限验证
weixin_33696822的博客
06-27 128
在WEB FORM 里可以写一个通用类继承自Page类,在其Page_Load()事件中对session进行验证。 而在MVC中可以使用C#的"特性"(或者叫过滤器)来进行身份验证自定义一个过滤器,重写其OnActionExecuting(ActionExecutingContext)方法。该方法是在Action执行之前先进行验证。 public class LoginFilter : ...
Asp.net MVC自定义权限
weixin_34160277的博客
01-12 95
MVC框架的一个很重要的优势在于可拓展性很高。权限的管理在每一个Web应用程序中都非常重要,虽然微软提供了Membership的默认权限设置,但在更多的情况下,Membership默认的权限设置并不能满足我们实际的需要。     下面本文将用一种简单的办法来自定义权限。      在MVC框架中,属性常用来限定控制器(Controller)的访问。所以我们首先从AuthorizeAttribu...
ASP.NET MVC通用角色权限管理系统源码 v2.0.zip
03-18
ASP.NET MVC通用角色权限管理系统源码v2.0是一个基于微软的ASP.NET MVC框架构建的系统,用于实现高效且灵活的角色权限管理。该系统适用于各种企业和组织,为管理员提供了精细的用户权限分配功能,确保了系统的安全性...
ASP.NET MVC使用ActionFilterAttribute实现权限限制的方法(附demo源码下载)
10-22
通过这种方式,我们可以轻松地在ASP.NET MVC应用程序中添加权限控制,确保只有经过验证的用户才能访问受保护的资源。附带的demo源码可以帮助开发者更好地理解并实践这种实现方式。 总之,ActionFilterAttribute提供...
详解ASP.NET MVC Form表单验证
10-22
ASP.NET MVC中,除了基本的表单验证,还可以实现基于角色和用户的权限验证。例如,使用特性(Attribute)如`[Authorize]`,`[RequestAuthorize]`等来限制特定Action或Controller的访问权限。 1. **角色验证**:`...
基于ASP.NET MVC3的身份验证权限控制方案设计
12-17
根据开发“深部探测关键仪器装备野外实验管理系统”的需要,设计了一个基于ASP.NET MVC3框架的身份验证角色权限控制方案。使用表单身份验证,实现服务器端对客户端的身份验证和授权。角色访问控制实现了用户与访问权限的逻辑分离。该方案实现了页面级别的权限控制,保证系统安全、有效运行,并可以方便地应用于其他类似系统的权限控制。
Asp.net Mvc 身份验证、异常处理、权限验证(拦截器)实现代码
10-27
本问主要介绍asp.net的身份验证机制及asp.net MVC拦截器在项目中的运用。现在让我们来模拟一个简单的流程:用户登录》权限验证》异常处理
Asp.net Mvc身份验证、异常处理、权限验证(拦截器)源码
07-22
Asp.net Mvc身份验证、异常处理、权限验证(拦截器)源码
ASP.NET MVC 5 网站开发之美
11-15
5. **身份验证与授权**:ASP.NET MVC 5内置了基于OWIN的身份验证中间件,支持多种身份验证方案,如OAuth、OpenID Connect等,同时也提供了角色权限管理,用于控制用户访问特定资源。 6. **Entity Framework**:...
ASP.NET Core 下自定义权限验证
weixin_30519071的博客
04-24 2578
效果图: 如果没有权限时,显示: 代码: public class AuthorizeAdminAttribute : TypeFilterAttribute { #region 字段 private readonly bool _ignoreFilter; #end...
Asp.net MVC身份验证权限管理
YUEXILIULI的博客
05-11 912
一、项目结构 二、编写代码 (1)创建实体类 AccountModels .cs namespace WebApplication1.Models { #region Models [PropertiesMustMatch("NewPassword", "ConfirmPassword", ErrorMessage = "The new password and confirmation password do not match.")] public class ChangeP
asp.net mvc 控制器&动作方法 角色 权限验证
BI
08-20 3458
环境: Visual Studio Community 2015 Asp.net MVC5第一步: 检查项目根目录的 Web.config 中的 <authentication mode="Forms"> <forms loginUrl="~/Account/Login" timeout="2800" /> </authentication>
asp.net MVC 权限设计
weixin_34010949的博客
01-07 229
几点说明:       1、该权限系统是个网站用的,用户简单,因此不涉及到部门这些信息     2、基于将角色与controller、action相关联来判断用户是否有权     3、通过重载AuthorizeAttribute实现   数据库设计:     表说明   ControllerAction      Name是control...
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值