权限管理页面控制

最新推荐文章于 2024-03-12 16:29:05 发布
最新推荐文章于 2024-03-12 16:29:05 发布
阅读量274 收藏
点赞数
文章标签: ui 数据库

我们知道对于权限管理这块,采取的思想就是RBAC

 每个用户对应一个角色,我们只需要对这个角色进行分配相应的权限即可,也就是给这个用户分配了权限,这样管理起来很方便,设计也很简答,大概就是用户表,角色表,模块表,在加上一个角色与模块对应的表就可以了,然后根据不同的用户权限,显示相应的模块或者提示没有权限访问,这里要说的就是,对每个页面的访问权限,如果都写的话,这么多的页面是个很大的工作量,类似判断用户是否登录一样,在asp.net中我们完全可以使用Forms验证来代替使用session每个页面都要判断的做法,同样,在这里我们也可以通过HttpModule来直接过滤掉没有访问权限的页面,方便多了,我们知道HttpModule可以再服务器端接收处理之前进行相关的过滤,这点给我们提供很大的方便,我们完全可以利用它的这一点,具体的来看看下:

ExpandedBlockStart.gif View Code
   public  class CheckUserModule : IHttpModule
    {

         private  static  string loginPage =  " login.aspx ";
         #region IHttpModule Members
         public  void Dispose()
        {
             // 此处放置清除代码。
        }

         public  void Init(HttpApplication context)
        {                   
            context.AcquireRequestState +=  new EventHandler(checkUserRight);           
        }
        
         ///   <summary>
         ///  检测用户权限
         ///   </summary>
         void checkUserRight( object sender, EventArgs e)
        {             
            HttpApplication application = (HttpApplication)sender;           //  获取应用程序            
             string url =  HttpContext.Current.Request.Url.ToString();        //  获取Url
             int start=url.LastIndexOf( ' / ') +  1;                              // 查找URL中最后一个/的位置
             int end=url.IndexOf( ' ? ',start);                                  // 查找URL中?位置
             string requestPage =  null;                                      
             if (end <  0) end = url.Length -  1;
            requestPage=url.Substring(start, end - start + 1);                // 得到所请求的页面
            requestPage = requestPage.ToLower();
             if (requestPage == loginPage)  return;
             if (!isProtectedResource(requestPage))  return;
            User user=SJL.Web.HttpCode.WebUtility.currentUser;               // 获得当前用户          
             if (user== null)
            {
                application.Response.Redirect( " ~/Login.aspx ");
                 return;
            }                
             if (SJL.Bll.UserRight.UserBLL.isAdmin(user))  return;                     
             // 检测用户权限
             if (!SJL.Bll.UserRight.RoleRightBLL.canAccessPage(user.RoleID, requestPage))                
                application.Response.Redirect( " ~/AccessDeny.htm ");
        }

         ///   <summary>
         ///  判断页面是否为受权限管理保护的资源(如Aspx等)
         ///   </summary>
         ///   <param name="page"> 所请求的页面 </param>
         ///   <returns> 是否受保护 </returns>
         bool isProtectedResource( string page)
        {
            page = page.ToLower();
            System.Collections.Generic.List<String> protectedFiles = 
             new System.Collections.Generic.List< string>();             // 受保护资源的扩展名          
            protectedFiles.AddRange( new  string[] {  " .aspx "" .asmx "" .ashx " });
             string found=protectedFiles.Find(s => page.EndsWith(s));
             if (found ==  null)
                 return  false;            
            ApplicationModule module = SJL.Bll.UserRight.ApplicationModuleBLL.getByUrl(page);
             if (module ==  nullreturn  false;
             return !module.IsPublic;                                         // 如果页面为公共模块则不受保护            
        }     
         #endregion

         public  void OnLogRequest(Object source, EventArgs e)
        {
             // 可以在此放置自定义日志记录逻辑
        }       
 
         
    }

Web.coinfig中配置下

 <httpModules>

        <add name="CheckUserModule" type="SJL.Web.HttpCode.CheckUserModule"/>

      </httpModules>

 

先判断是否登录,是否是受保护的资源,然后根据url来判断是否有权限访问!

我们可以根据自己需要控制的权限去设置,比如一个企业级的软件,我们需要控制菜单的页面,那么这个时候,我们只需要判断
  1、.aspx结尾的文件,httpModules过滤的时候也会过滤下比如css,js,ashx等页面,在这里因为受权限保护的只有aspx结尾的,所有只需要对aspx结尾的进行过滤判断即可
  2、是否是受权限控制的页面
  3、如果没有登录,则跳到登录页面

  4、如果是受权限控制的页面,那么就看看此时登录的用户是否有访问的这个页面的url权限即可

注意点:

  1、因为这种方式主要是对页面进行权限判断,所以为了权限设置到位,比较严,最好每一个需要权限保护的功能都单独做一个页面,不要和其他页面套在一起,放置权限设置混乱

  2、判断权限页面的时候,对访问的页面和数据库保存的页面都要去除参数和目录,比如/user/user_edit.aspx?id=5,那么这个时候我们就要截取获得user_edit.aspx用来判断,否则,就会出现权限控制不严格的情况,比如列表 /user/user_list.aspx,如果你对访问过来的url没有截取判断,那么访问user_list.aspx?page=5则会通过,但是事实上我们已经控制这个页面不让访问了,就是因为url不同导致权限控制有问题,所以这点一定要注意!
 采用httpModule的好处就是一步操作就可以完成权限控制和未登录验证,效果很好,改变了传统的每个页面都需要判断的写法
Code:

using System;
using System.Data;
using System.Configuration;
using System.Linq;
using System.Web;
using System.Web.Security;
using System.Web.UI;
using System.Web.UI.HtmlControls;
using System.Web.UI.WebControls;
using System.Web.UI.WebControls.WebParts;
using System.Xml.Linq;
using System.Collections.Generic;
using shuang.Model;
///   <summary>
/// CheckUserModule 的摘要说明
 ///   </summary>
public  class CheckRoleModule : IHttpModule
{

     public  static  string loginPage =  " login.aspx ";
     public CheckRoleModule()
    {
         //
         // TODO: 在此处添加构造函数逻辑
         //
    }
     #region IHttpModule 成员
     public  void Init(HttpApplication context)
    {
        context.AcquireRequestState +=  new EventHandler(checkUserMenu);
    }

     void checkUserMenu( object sender, EventArgs e)
    {
       
        HttpApplication application = (HttpApplication)sender;           //  获取应用程序            
         string url = HttpContext.Current.Request.Url.ToString();        //  获取Url
         int start = url.LastIndexOf( ' / ') +  1;                              // 查找URL中最后一个/的位置
         int end = url.IndexOf( ' ? ', start);                                  // 查找URL中?位置
         string requestPage =  null;
         if (end <  0) end = url.Length;
        requestPage = url.Substring(start, end - start);                // 得到所请求的页面
         // 截取后缀
         if (requestPage == loginPage)  return;
         string requestPageSuffix = requestPage.Substring(requestPage.LastIndexOf( " . ") +  1);
         if (requestPageSuffix !=  " aspx ")
        {
             return;
        }
         string user = OperateCommon.currentUser;//对每一个页面都要判断是否登录
         if (user ==  null)
        {
            application.Response.Write( " <script language='javascript'>parent.location.href=' " + Common.ApplicationRootPath +  " /login.aspx';</script> ");
             return;
        }
         else
        {
           
           
             // 查看是否是菜单权限控制页面
             //   requestPage = url.Substring(start);
             if (!isProtectedResource(requestPage))  return;
             // 检测用户权限
             if (!OperateCommon.isPross(user,requestPage)) {
                Common.showMsg( " 0 "" 你没有访问该页面的权限,请联系管理员 ");
            }
        }
    
        
    }
     ///   <summary>
     ///  判断页面是否为受权限管理保护的资源
     ///   </summary>
     ///   <param name="page"> 所请求的页面 </param>
     ///   <returns> 是否受保护 </returns>
     bool isProtectedResource( string page)
    {
        //  page = page.ToLower();
        List<String> protectedFiles =OperateCommon.GetMenu(); // 受保护的页面
         // 读取所有菜单栏目的url
         bool fig =  false;
         foreach ( string item  in protectedFiles)
        {
             if(item==page)
            {
                fig =  true;
                 break;
            }
        }
         return fig;
    }


     public  void Dispose()
    {
        //  throw new NotImplementedException();
    }
     #endregion
}

OPerateCommon

 

ExpandedBlockStart.gif View Code
using System;
using System.Data;
using System.Configuration;
using System.Linq;
using System.Web;
using System.Web.Security;
using System.Web.UI;
using System.Web.UI.HtmlControls;
using System.Web.UI.WebControls;
using System.Web.UI.WebControls.WebParts;
using System.Xml.Linq;
using shuang.BLL;
using shuang.Model;
using System.Collections.Generic;
///   <summary>
/// OperateCommon 的摘要说明
 ///   </summary>
public  class OperateCommon
{
     public OperateCommon()
    {
         //
         // TODO: 在此处添加构造函数逻辑
         //
    }
     private  const  string SessionUser =  " LoginName ";    // 登录用户   
     private  static  string loginName =  "";
     public  static  string currentUser
    {
         get
        {
             if (HttpContext.Current ==  null)
            {
                 return  null;
            }
             else
            {
                 if (HttpContext.Current.Session[SessionUser] !=  null)
                {
                     return HttpContext.Current.Session[SessionUser].ToString();
                }
            }
             return  null;
           
        }
         set
        {
            HttpContext.Current.Session[SessionUser] = value;
        }
    }
     public  static  void getLoginName()
    {
         if (currentUser!=  null)
        {
            loginName = HttpContext.Current.Session[SessionUser].ToString();
        }
         else
        {
            HttpContext.Current.Response.Redirect( " ~/logout.aspx ");
        }
    }
     ///   <summary>
     ///  检测用户的访问权限
     ///   </summary>
     ///   <returns></returns>
     public  static  bool isPross( string loginName, string requestPage)
    {
        UserBLL bll =  new UserBLL();
        RoleBLL rolebll =  new RoleBLL();
        menuBLL menubll =  new menuBLL();
         bool fig =  false;
        DataSet ds = bll.GetList( "  userName=' "+loginName+ " ' ");
         if (ds !=  null)
        {
             string roleId = ds.Tables[ 0].Rows[ 0][ " userRole "].ToString();
            Role role = rolebll.GetModel(Convert.ToInt32(roleId));
             string menuId = role.roleMenulimit;
        
            DataSet dsMenu = menubll.GetList( "  menuId in( "+menuId+ " ) ");
             foreach (DataRow row  in dsMenu.Tables[ 0].Rows)
            {
                 string url = row[ " url "].ToString();
                 int start = url.LastIndexOf( ' / ') +  1;                              // 查找URL中最后一个/的位置
                 int end = url.IndexOf( ' ? ', start);
                 string url1 =  null;
                 if (end <  0) end = url.Length;
                url1 = url.Substring(start, end - start);
                 if (url1 == requestPage)
                {
                    fig= true;
                     break;
                }
            }
        }

         return fig;
    }
     ///   <summary>
     ///  获取受保护的菜单页面
     ///   </summary>
     ///   <returns></returns>
     public  static List< string> GetMenu()
    { 
         menuBLL menubll =  new menuBLL();
         DataSet ds = menubll.GetList( "  parent!=0 ");
         List< string> menuList =  new List< string>();
          foreach (DataRow row  in ds.Tables[ 0].Rows)
         {
               string url = row[ " url "].ToString();
               int start = url.LastIndexOf( ' / ') +  1; // 查找URL中最后一个/的位置
             //   url = url.Substring(start);
               int end = url.IndexOf( ' ? ', start);  
               string requestPage =  null;
               if (end <  0) end = url.Length;
                 requestPage = url.Substring(start, end - start);
                 menuList.Add(requestPage);
         }
          return menuList;
    }
}

 

web.config

<add name="CheckUserModule" type="CheckRoleModule"/>

这样就完成了权限限制,文件过滤等问题...

weixin_33971130
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
html介绍和CSS控制页面
dhnnnna的博客
06-22 341
HTML介绍和常用标签 请结合前面的总述观看
管理页面模板
10-28
在实际的管理系统中,管理页面模板往往还需要考虑权限控制。不同的用户角色可能有不同的操作权限,这可以通过后端配合实现,也可以在前端层面进行基本的权限判断。 10. **性能优化**: 为了提升加载速度和用户...
页面权限控制的具体实现
最新发布
m0_51732378的博客
03-12 392
实现前端页面权限控制
页面控制常见问题及解决办法
happmaoo的专栏
06-23 157
1、在固定宽度的表格中,若输入的英文字符总长度超过了表格宽度,则表格就会撑大,中文则不会。 2、表格的分行下载 在需要分行下载处加上 &lt;tbody &gt; ,这样可以加快表格下载速度。 比如:&lt;table &gt;&lt;tbody &gt;&lt;tr &gt;&lt;td &gt;flsdjfsdjfkdsjf&lt;/td &gt;&lt;/tr &gt;&lt;tr
页面控制
Matrix_Designer的专栏
10-06 606
前些天写了一个页面控制台,主要是为了方便远程维护用的.由于系统以ASPNET用户运行控制台程序,所以权限仅为USERS组的权限.可以将此帐户添加到ADMINISTRATORS组中,从而可以得到超级权限.这个功能为远程维护提供了方便.运行效果如下:<br /><br /> 页面(Console.aspx)代码如下:<br /> <%@ Page Language="C#" AutoEventWireup="true" CodeFile="Console.aspx.cs" Inherits="Con
JAVA:权限管理授权页面与列表页面
Schon_zh的博客
10-29 3332
权限配置 思路 初始化所有权限,显示页面 共三级,若上级id为0并且下级权限数组长度为0,添加增删改查菜单 若存在上级并且下级权限数组长度为0,添加增删改查菜单 代码 权限配置页面 &amp;amp;lt;%@ page language=&amp;quot;java&amp;quot; import=&amp;quot;java.util.*&amp;quot; pageEncoding=&amp;quot;utf-8&amp;quot;%&am
网页的一些常用的
liufei_kl2008的专栏
05-05 442
1.   oncontextmenu="window.event.returnValue=false"   将彻底屏蔽鼠标右键     no   可用于Table         2.      取消选取、防止复制         3.   onpaste="return   false"   不准粘贴         4.   oncopy="return   false;"   oncut="
css之控制页面的四种方式
qq_44388958的博客
03-10 961
CSS在制作网页中,是大量使用的一种语言,多参考一些网站的源代码可以帮助我们快速掌握各种技巧并运用到实际制作中,下面小编就如何在网页中引入CSS样式表做一下简单的介绍。 CSS控制页面 使用CSS制作网页时,一个基础的要求是主流的浏览器之间的显示效果要基本一致,通常的做法是一边编写HTML和CSS代码,一边在两个不同的浏览器上进行预览,及时地进行调整,这有利于深入掌握CSS。 通过大致...
权限管理静态页面
12-28
10. **安全性**:为了保护敏感信息,权限管理页面本身也需要有安全措施,如HTTPS加密传输,防止未授权的访问和篡改。 总的来说,权限管理静态页面是CRM系统中不可或缺的部分,它确保了用户只能访问和操作他们被授权...
React-Router如何进行页面权限管理的方法
08-28
页面权限管理是指根据用户的角色控制用户访问页面权限,本文将介绍如何使用 React-Router 实现页面权限管理页面权限管理的重要性 在复杂的应用程序中,页面权限管理是非常重要的。它可以防止未经授权的用户...
SpringBoot 权限控制(菜单控制页面元素控制,url控制
04-13
基于RBAC思想的权限控制,可先建立完整的库,也可以使用使用代码生成,包中提供两种方式, 代码先后顺序 菜单控制----》元素控制-------》url控制
权限管理demo以及表设计、精美后台页面html
11-14
自己写的权限管理demo,mysql数据库,以及数据表结构,静态页面在html文件下
Vue后台管理系统实现权限控制
05-17
通过Vuex管理和传递状态,利用Vue Router的路由守卫进行页面访问控制,以及axios的请求拦截器进行API级别的权限验证,可以构建出安全、易用的后台管理系统。实践过程中,还需要注意对权限的细粒度划分,以适应不同...
搜管理页面搜管理页面.rar
01-03
在Web开发中,管理页面(Admin Interface)是为系统管理员设计的,它提供了对应用数据和功能的高级访问权限。这些页面可能包括数据导入/导出、用户管理、内容编辑、设置调整、日志查看等多种功能。对于"搜管理页面...
权限管理页面控制知识
weixin_34380948的博客
06-28 60
每个用户对应一个角色,我们只需要对这个角色进行分配相应的权限即可,也就是给这个用户分配了权限,这样管理起来很方便,设计也很简答,大概就是用户表,角色表,模块表,在加上一个角色与模块对应的表就可以了,然后根据不同的用户权限,显示相应的模块或者提示没有权限访问,这里要说的就是,对每个页面的访问权限,如果都写的话,这么多的页面是个很大的工作量,类似判断用户是否登录一样,在asp.n...
页面/按钮 - 权限控制(前端)
m0_53149377的博客
03-13 3370
权限控制
若依的权限控制该怎么做(超详细的图文教程)
热门推荐
Keep__Me的博客
09-04 2万+
若依的权限控制
Web前端页面访问权限控制总结
qq_25757181的博客
07-22 4333
登录是获取用户权限模板URL列表,定义filter过滤器,获取当前请求url,在权限列表中判断访问接口URL路径是否在用户权限列表中,如果在则URL鉴权通过,否则鉴权失败返回鉴权失败信息。,前端不做页面控制,有后端进行权限控制。-后端进行权限控制,基本上能避免绕过前台接口调用接口的问题,但是能看到不能访问一些菜单,给用户的体验不太好。,前端控制页面访问权限,后端不做接口权限控制。前后端在获取用户权限列表之后通过判断用户权限是否包括某个权限点,有该权限点则鉴权通过,否则鉴权失败。...
vue 角色权限控制页面页面内的按钮。总结思路
qq_43586648的博客
09-28 608
前端创建asyncRoutes,添加meta: { auth: true },在router.beforeEach 里 router.addRoutes。后端返回有权限的menu tab button,tab,角色管理里,可以配置角色权限 权限配置用tree星控件。auth 为false时不受权限控制,都会显示。用户管理里,可以添加用户的角色,不可修改自己角色。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值