asp.net MVC 权限设计(续)

asp.net MVC 权限设计一文中没有demo放出来,应大家的要求,这里补充上文并放出demo。

 

几点说明:

 

    1、基于将角色与controller、action相关联来判断用户是否有权

    2、通过自定义AuthorizeAttribute实现

    3、demo 仅供参考,一些规则可以根据实际情况重新定义

 

简明需求

1、可以对每个action实现权限控制,并且可以在数据库动态配置

2、权限分为允许所有人访问、允许注册用户访问、允许\禁止特定角色人访问

 

数据库设计

image

 

在demo里不使用数据库,这里给出表对应的类

/// /// 控制器和Action/// public class ControllerAction{public int Id{get;set;}public string Name{get;set;}/// /// IsController是指是否是controller,如果为false,/// 表示是action,那么controllerName字段就派上用场了/// public bool IsController{get;set;}/// /// 控制器名称/// 如果IsController为false,该项不能为空/// public string ControllName{get;set;}/// /// 是指是否允许没有权限的人访问 /// public bool IsAllowedNoneRoles{get;set;}/// /// 是否允许有角色的人访问 /// public bool IsAllowedAllRoles{get;set;}}/// /// 用户与角色的关联表/// public class ControllerActionRole{public int Id{get;set;}/// /// 对应的ControllerAction编号/// public int ControllerActioId{get;set;}/// /// 对应的角色编号/// public int RoleId{get;set;}/// /// IsAllowed表示包含RoleId的用户是否有权限访问ControllerActioId/// public bool IsAllowed{get;set;}}/// /// 角色/// public class Role{public int Id{get;set;}public string Name{get;set;}public string Description{get;set;}}/// /// 用户/// public class User{public int Id{get;set;}public string Name{get;set;}}/// /// 用户与角色的关联表/// public class UserRole{public int Id{get;set;}public int UserId{get;set;}public int RoleId{get;set;}}

核心流程

image

 

我们见一个Database类来模拟数据库

/// /// /// 模拟数据库/// public class Database{public static List Users;public static List Roles;public static List UserRoles;public static List ControllerActions;public static List ControllerActionRoles;static Database(){// 初始化用户Users = new List(){new User(){Id=1,Name="Admin"},new User(){Id=2,Name ="User"},new User(){Id=3,Name="Guest"}};Roles = new List(){new Role() {Id=1,Name="Administrator"},new Role() {Id=2,Name="User"}};UserRoles = new List(){new UserRole(){Id=1,RoleId=1,UserId=1}, //管理员new UserRole(){Id=2,RoleId=2,UserId=2} //用户};ControllerActions = new List(){new ControllerAction(){Id=1,Name="Index",IsController=true,IsAllowedNoneRoles=true,IsAllowedAllRoles=true}, // /Home 允许所有人访问new ControllerAction(){Id=2,ControllName="Home",Name="Admin",IsController=false,IsAllowedNoneRoles=false,IsAllowedAllRoles = false}, // /Home/Admin 管理员才能访问new ControllerAction(){Id=3,ControllName="Home",Name="User",IsController=false,IsAllowedNoneRoles=false,IsAllowedAllRoles = true}, // /Home/User 有角色的人才能访问new ControllerAction(){Id=4,ControllName="Home",Name="UserOnly",IsController=false,IsAllowedNoneRoles=false,IsAllowedAllRoles = false}, // /Home/UserOnly 用户才能访问};ControllerActionRoles = new List() { new ControllerActionRole(){ Id=1,ControllerActioId = 2,RoleId = 1,IsAllowed = true },  // 管理员才能访问new ControllerActionRole(){ Id=2,ControllerActioId = 4,RoleId = 2,IsAllowed = true }  // USER才能访问};}}

来看我们的主要代码

      /// /// 自定义AuthorizeAttribute/// public class UserAuthorizeAttribute : AuthorizeAttribute{public override void OnAuthorization(AuthorizationContext filterContext){var user = filterContext.HttpContext.Session["CurrentUser"] as User;// 用户为空,赋予Guestif (user == null){user = Database.Users.Find(u => u.Name == "Guest");}var controller = filterContext.RouteData.Values["controller"].ToString();var action = filterContext.RouteData.Values["action"].ToString();var isAllowed = this.IsAllowed(user, controller, action);if (!isAllowed){filterContext.RequestContext.HttpContext.Response.Write("无权访问");filterContext.RequestContext.HttpContext.Response.End();}}/// /// 判断是否允许访问/// ///  用户///  控制器///  action/// 是否允许访问public bool IsAllowed(User user, string controller, string action){// 找controllerActionvar controllerAction = Database.ControllerActions.Find(ca => ca.IsController == false && ca.Name == action && ca.ControllName == controller);//action无记录,找controllerif (controllerAction == null){controllerAction = Database.ControllerActions.Find(ca => ca.IsController && ca.Name == controller);}// 无规则if (controllerAction == null){return true;}// 允许没有角色的:也就是说允许所有人,包括没有登录的用户 if (controllerAction.IsAllowedNoneRoles){return true;}// 允许所有角色:只要有角色,就可以访问 if (controllerAction.IsAllowedAllRoles){var roles = Database.UserRoles.FindAll(ur => ur.UserId == user.Id);if (roles.Count > 0){return true;}else{return false;}}// 选出action对应的角色 var actionRoles = Database.ControllerActionRoles.FindAll(ca => ca.ControllerActioId == controllerAction.Id).ToList();if (actionRoles.Count == 0){// 角色数量为0,也就是说没有定义访问规则,默认允许访问 return true;}var userHavedRolesids = Database.UserRoles.FindAll(ur => ur.UserId == user.Id).Select(ca => ca.RoleId).ToList();// 查找禁止的角色 var notAllowedRoles = actionRoles.FindAll(r => !r.IsAllowed).Select(ca => ca.RoleId).ToList();if (notAllowedRoles.Count > 0){foreach (int roleId in notAllowedRoles){// 用户的角色在禁止访问列表中,不允许访问 if (userHavedRolesids.Contains(roleId)){return false;}}}// 查找允许访问的角色列表 var allowRoles = actionRoles.FindAll(r => r.IsAllowed).Select(ca => ca.RoleId).ToList();if (allowRoles.Count > 0){foreach (int roleId in allowRoles){// 用户的角色在访问的角色列表 if (userHavedRolesids.Contains(roleId)){return true;}}}// 默认禁止访问return false;}}

测试

    [HandleError][UserAuthorize]public class HomeController : Controller{public ActionResult Index(){ViewData["Message"] = "欢迎使用 ASP.NET MVC!";return View();}public ActionResult Admin(){ViewData["Message"] = "只有管理员才能访问!";return View("Index");}public ActionResult User(){ViewData["Message"] = "只要是注册用户就能访问!";return View("Index");}public ActionResult UserOnly(){ViewData["Message"] = "只能是User才能能访问!";return View("Index");}public ActionResult Login(string user){Session["CurrentUser"] = Database.Users.Find(u => u.Name == user);if (Session["CurrentUser"] != null){ViewData["Message"] = "你已登录为" + user;}return View("Index");}public ActionResult About(){return View();}}

 

1、登录为Admin

image

 

访问Admin

image

 

访问User

image

 

访问UserOnly

image

 

2、登录为User

image

 

访问Admin

image

 

访问User

image

访问UserOnly

image

 

demo下载 MVCRole.rar

转载于:https://www.cnblogs.com/xiaoqi/archive/2011/01/24/1942880.html

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/263658.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

C# winForm 定时访问PHP页面小工具

IDE:vs2019 项目文件: 链接: https://pan.baidu.com/s/1H-Q3nc6sKQbD32pp0vuQIg 提取码: ncce 使用场景:定时访问本机(服务器)的某个页面,发送参数。执行计划任务。 界面: C# 代码:…

Java知多少(12)运算符

Java中的运算符和C/C相差无几。 数学运算符 数学运算,结果为一个数值。见下表:运算符说明举例加法1 2-减法4 - 3.4*乘法7 * 1.5/除法3.5 / 7%取余7 % 2自增3--自减3--关系运算符 关系运算符,结果为一个布尔值。见下表:运算符说明…

响应式html5模板代码,响应式多用途HTML5模板

跨浏览器兼容,视网膜准备,响应式 HTML5 / CSS3 模板,具有触摸支持,具有简洁的设计,多用途模板,适用于各种网站,使用此模板可以进行大量自定义,这将有助于您重新定义网站的品牌价值。…

HDU 2095 find your present (2)

原以为这是一纯水题,就果断开了1000000了数组给它(1300多K),没想Memory果断超了,后来又用链表做(写了2000多K),再次无情的被Memory刷了,无耐百度一下,竟然发现…

动态网页开发基础

1.动态网页:能跟用户进行交互的网页,能够处理用户请求的网页 2.B/S架构:浏览器;客户端零维护;与操作系统平台的关系最小化;在响应速度和安全性上需要花费更多设计成本 C/S架构:需要…

陕西师范大学计算机科学学院保研院校,陕西师范大学计算机科学学院(专业学位)现代教育技术保研细则...

考研真题资料优惠价原价选择陕西师范大学计算机科学学院(专业学位)现代教育技术保研细则信息,是考研之前需要获取相应的考研信息,比如考试大纲、招考专业、招考目录等等基本信息,这些内容是进行考研前期工作的必要准备。考生可以从各院校的研…

数据挖掘开源项目立项

项目背景 因为最近一直都在搞数据挖掘类的项目,且现在国内的大数据潮火热。在前几天与群里的几位兄弟聊天所以有了做一个开源项目的想法,以前也搞过一个开源的项目,当时只是想把权限集中化做一下,项目的名称和地址是: …

WinForm立体饼状图实现(附源码示例) 之配餐系统的开发

本文所要将的是在“配餐系统”开发中 立体饼状图效果的实现,直接贴出代码和附上示例,相信需要的朋友可以很容易使用!项目中的效果图,如下: 实现 应用的是 System.Drawing.PieChart.PieChartControl 控件, PieChartHelp…

DS博客作业08--课程总结

1、当初你是如何做出选择计算机专业的决定的? 因为觉得对电脑这方面比较感兴趣,觉得写一些自己想要的程序和软件很酷, 还有就是觉得网络也是以后比较热门的一个方向。并且家人也觉得网络发展 的很快,也比较支持我学习网络这一方面…

关键字super和this的使用及区别

"this"作为一个特殊的关键字,它的规则如下: 1.可以表示构造函数传递。this(a,b)表示调用另外一个构造函数。这里面的this就是一个特殊语法,不是变量,没有什么类型。 2.可以在一个类的非static成员内部使用,表…

家庭组计算机无法,【求助】Windows无法从该家庭组中删除你的计算机

该楼层疑似违规已被系统折叠 隐藏此楼查看此楼echo 服务名称fdPHost,显示名称Function Discovery Provider Host,进程svchost.exeecho DEMAND或DISABLED或AUTO(手动、禁止、自动)sc config fdPHost start DEMANDecho stop立即停止start立即开启delete删除…

2013计算机系统导论,【精选】2013计算机系统导论-期末考卷-发布.pdf

【精选】2013计算机系统导论-期末考卷-发布北京大学信息科学技术学院考试试卷考试科目: 计算机系统导论 姓名: 学号:考试时间: 2014 年 1 月 7 日任课教师:题号 一 二 三 四 五 六 七 八 总分分数装订 阅卷人线内 北京大学考场纪律…

ckeditor+ckfinder+syntaxhighlighter编辑器

闲着没事将这三个组件合成在一起做个功能强大的编辑器,可以起到代码高亮的作用。 效果呢和博客园的编辑器功能差不多。功能可以直接定制,有需要的朋友可以下载一份看看,如果在使用中有什么问题可以和我交流,当然如果如果有更好的方…

需求管理

需求管理是内部集成和外部集成的结合点。 从企业内部管理来讲,如何不断提高制造柔性、缩短各类提前期,又是应对需求变化和提高响应速度的一个极其重要的因素。 现货生产MTS和定单组装ATO两类响应策略面对的问题,只要是对日用消费品和耐用消费…

个人计算机既pc机,个人计算机简称pc机这种计算机属于___pc机开机后计算机执行_个人计算机即pc机(14)...

[解析]略十四. 涉及到计算机的“键盘、鼠标、扫描仪、显示器、绘图仪”127、 保持微型计算机正常运行必不可少的输入输出设备是___C___。A.键盘和鼠标B.显示器和打印机C.键盘和显示器D.鼠标和扫描仪[解析]略128、 有关微型计算机键盘可能要问以下几个问题&#xff1…

shell脚本工具之控制结构

流程控制结构是程序语言中用于控制一段脚本执行流程的结构,shell提供了对多种流程控制结构的支持,包括条件结构,分支结构和循环结构.一.if语句格式1:if 表达式;then语句1else语句2fi格式2:if 表达式1;then语句1elseif 表达式2;thenelseif 表达式3语句2else语句3fi语句4fifi格式…

Android基础教程(三)之------ Activity 窗口切换

首先在layout里建2个xml文件 分别有按钮1和按钮2 JAVA代码: 1.public class Activity01 extends Activity{ public void onCreate(Bundle savedInstanceState) { super.onCreate(savedInstanceState); /* 设置显示main.xml布局 */ setContentView(R.layout.main)…

哈夫曼树(最优树)及编码

1转载于:https://www.cnblogs.com/kt-xb/p/11110461.html

计算机注册表管理,学会注册表几个常用的设置,更好地管理自己的电脑!

注册表是Windows操作系统的核心数据库,存放着各种参数,直接控制着Windows的启动、硬件驱动程序的装载以及一些Windows应用程序的运行。从Microsoft Windows 95操作系统开始,注册表成为了Windows用户可以经常接触的内容,并在其后的…

纯数字加密和解密算法(原创)

自己最近无聊,写了一个简单的纯数字加密解密算法,对于一般 要求不高的加密环境,自认为是够用的吧,下载地址: http://download.csdn.net/detail/jine515073/8532099