构建基于角色、由应用程序管理的授权框架
如果你不理解安全性相关概念,可以参考如下几篇文章:
1、Web 应用程序安全框架:http://erpcrm.cnblogs.com/articles/234776.html
2、设计由应用程序管理的授权:http://erpcrm.cnblogs.com/articles/234793.html
3 、.net 基于角色的安全性介绍 http://msdn.microsoft.com/library/chs/?url=/library/CHS/cpguide/html/cpconIntroductionToRole-BasedSecurity.asp
本文假设你对.net 安全性相关概念如Principal 和Identity有所了解。
一、分析
先看一个基于角色授权的需求:
在一个CRM系统中,用户 “zhangsan”属于销售部的一名普通员工,“lisi”是该销售部的部门经理,“zhangsan”作为一名销售员有创建新客户的权利(customer.add),删除客户的权利(customer.delete)只有部门经理才有。
这种需求,我们一般情况下,建立两个角色(employees,managers),zhangsan属于employees, lisi属于managers,
然后我们再定义employees有customer.add的权利,managers两个权利都有,这样就基本满足了这种需求。
现在有一个更深层次的需求:zhangsan作为销售员需要报销一些行销费用,在报销流程中,1000元以下的费用由部门经理审批,超过1000元的由总经理审批,类似这样的需求,我们认为属于业务逻辑范畴,本授权框架不解决类似问题。
本框架的数据持久部分如下图:
本持久部分是该授权框架的一个持久实现,本框架数据持久部分采用porvider模型,允许你定义自己的持久实现。
二 利用.net实现该框架
在.net中基于角色安全性的两个重要概念就是 Principal(主体),Identity(标示)。
在该框架中 ECubePrincipal 实现了IPrincipal接口,ECubeIdentity 实现了IIdentity接口。
using System.Runtime.Serialization;
using System.Configuration;
namespace ECube.Business.Security
{
[SerializableAttribute]
public class ECubeIdentity : System.Security.Principal.IIdentity
{
private string _Name;
private string _AuthenticationType;
private bool _IsAuthenticated;
public ECubeIdentity()
{
_AuthenticationType = "ECubeCustom";
}
internal ECubeIdentity(String name, Boolean isAuthenticated)
{
_Name = name;
_IsAuthenticated = isAuthenticated;
}
public string Name
{
get
{
return _Name;
}
}
public bool IsAuthenticated
{
get
{
return _IsAuthenticated;
}
}
public string AuthenticationType
{
get
{
return _AuthenticationType;
}
}
}
}
下面看看ECubePrinicpal:
using System.Collections.Generic;
using System.Text;
using System.Security;
using System.Security.Principal;
using System.Web.Security;
using ECube.Business.SystemFramework;
using ECube.Business.Security.Data;
namespace ECube.Business.Security
{
[SerializableAttribute]
public class ECubePrincipal : IPrincipal
{
IIdentity _Identity;
private static IUserProvider _UserProvider;
private static IRoleProvider _RoleProvider;
private static IPermissionProvider _PermissionProvider;
private static String[] _Roles;
private Dictionary<String, Boolean> permissions = null;
public ECubePrincipal(IIdentity identity)
{
_Identity = identity;
//如果在ASP.NET 中是Forms授权
if(identity is System.Web.Security.FormsIdentity)
{
//检查Membership.Provider是否实现 IUserProvider;
if (!(System.Web.Security.Membership.Provider is IUserProvider))
{
throw new SecurityException("System.Web.Security.Membership.Provider Must is IUserProvider Type.");
}
//检查Roles.Provider是否实现 IRoleProvider;
if (!(System.Web.Security.Roles.Provider is IRoleProvider))
{
throw new SecurityException("System.Web.Security.Roles.Provider Must is IRoleProvide Type.");
}
_UserProvider = Membership.Provider as IUserProvider;
_RoleProvider = Roles.Provider as IRoleProvider;
}
else if(identity is System.Security.Principal.WindowsIdentity)
{
}
else if(identity is System.Web.Security.PassportIdentity)
{
}
else if(identity is System.Security.Principal.GenericIdentity)
{
}
else if(identity is ECubeIdentity)
{
}
else
{
}
//取得该用户的 “许可集”
permissions = PermissionProvider.GetPermissions(identity.Name);
}
/// <summary>
/// 返回角色数据提供者。
/// </summary>
public static IRoleProvider RoleProvider
{
get
{
if (_RoleProvider == null)
{
//首先检查当前应用程序的配置中是否指定了 角色提供者
String roleProviderName = BizApplication.Current.Parameters["RoleProviderName"].Value;
//如果没有
if (String.IsNullOrEmpty(roleProviderName))
{
//取得配置文件中Role段的默认角色提供者名字
roleProviderName = BizSecuritySection.Role.DefaultProvider;
}
if (!String.IsNullOrEmpty(roleProviderName))
{
//根据名字,取得对应的Provider
_RoleProvider = BizSecuritySection.Role.GetProvider(roleProviderName);
}
//如果还没有取到,并且定义了提供者
if (_RoleProvider == null && BizSecuritySection.Role.Providers.Count > 0)
{
//取得第一个
_RoleProvider = BizSecuritySection.Role.GetProvider(BizSecuritySection.Role.Providers[0]);
}
//如果还没取得
if (_RoleProvider == null)
{
//使用默认的。
_RoleProvider = new Role();
}
}
return _RoleProvider;
}
}
/// <summary>
/// 返回用户提供者。
/// </summary>
public static IUserProvider UserProvider
{
get
{
if (_UserProvider == null)
{
//首先检查当前应用程序的配置中是否指定了
String userProviderName = BizApplication.Current.Parameters["UserProviderName"].Value;
//如果没有
if (String.IsNullOrEmpty(userProviderName))
{
//取得配置文件中User段的默认提供者名字
userProviderName = BizSecuritySection.User.DefaultProvider;
}
if (!String.IsNullOrEmpty(userProviderName))
{
//根据名字,取得对应的Provider
_UserProvider = BizSecuritySection.User.GetProvider(userProviderName);
}
//如果还没有取到,并且定义了提供者
if (_UserProvider == null && BizSecuritySection.User.Providers.Count > 0)
{
//取得第一个
_UserProvider = BizSecuritySection.User.GetProvider(BizSecuritySection.User.Providers[0]);
}
//如果还没取得
if (_UserProvider == null)
{
//使用默认的。
_UserProvider = new User();
}
}
return _UserProvider;
}
}
/// <summary>
/// 返回许可提供者.
/// </summary>
public static IPermissionProvider PermissionProvider
{
get
{
if (_PermissionProvider == null)
{
//首先检查当前应用程序的配置中是否指定了
String permissionProviderName = BizApplication.Current.Parameters["PermissionProviderName"].Value;
//如果没有
if (String.IsNullOrEmpty(permissionProviderName))
{
//取得配置文件中User段的默认提供者名字
permissionProviderName = BizSecuritySection.Permission.DefaultProvider;
}
if (!String.IsNullOrEmpty(permissionProviderName))
{
//根据名字,取得对应的Provider
_PermissionProvider = BizSecuritySection.Permission.GetProvider(permissionProviderName);
}
//如果还没有取到,并且定义了提供者
if (_PermissionProvider == null && BizSecuritySection.Permission.Providers.Count > 0)
{
//取得第一个
_PermissionProvider = BizSecuritySection.Permission.GetProvider(BizSecuritySection.Permission.Providers[0]);
}
//如果还没取得
if (_PermissionProvider == null)
{
//使用默认的。
_PermissionProvider = new Permission();
}
}
return _PermissionProvider;
}
}
/// <summary>
/// 注销
/// </summary>
public void Logout()
{
this._Identity = null;
System.Threading.Thread.CurrentPrincipal = null;
}
/// <summary>
/// 登录,这是一个静态方法
/// </summary>
/// <param name="usrName">用于验证的用户名。</param>
/// <param name="usrPwd">用于验证的密码</param>
/// <param name="isSecurity">是否使用安全的提示,如果否:当验证错误时,提示非常明确,如“没有找到该用户!”,“密码错误!”。
/// 否则,给出非常模糊的提示。
/// </param>
public static void Login(string usrName, string usrPwd, bool isSecurity)
{
try
{
if (_UserProvider != null)
{
if (_UserProvider.ValidateUser(usrName, usrPwd, isSecurity))
{
DSSecurity.SECRolesDataTable roleTable = RoleProvider.GetRolesForUser(usrName);
_Roles = new String[roleTable.Count];
for (int i = 0; i < roleTable.Count; i++)
{
_Roles[i] = roleTable[i].Name;
}
IIdentity identity = new ECubeIdentity(usrName, true);
System.Threading.Thread.CurrentPrincipal = new ECubePrincipal(identity );
return;
}
}
}
catch (System.Exception ex)
{
if (ex is SecurityException)
{
throw;
}
else
{
//做一些记录等工作。
}
}
}
/// <summary>
/// 检查权限。
/// </summary>
/// <param name="permissionKey">权限的键:如在增加客户的权限可以描述为:“Customer.add”</param>
/// <returns></returns>
public Boolean CheckPermission(String permissionKey)
{
if (String.IsNullOrEmpty(permissionKey))
{
return false;
}
if (_Identity == null)
{
return false;
}
if (!_Identity.IsAuthenticated || permissions == null || permissions.Count == 0)
{
return false;
}
return permissions[permissionKey];
}
#region IPrincipal 成员
public IIdentity Identity
{
get
{
if (_Identity == null)
{
_Identity = new ECubeIdentity("guest",false);
}
return _Identity;
}
}
public bool IsInRole(string role)
{
throw new Exception("The method or operation is not implemented.");
}
#endregion
}
}
如果你只是想使用本框架的话,你接触到的只会是ECubePrincipal类。如果你想实现自己的持久,你可以实现
IRoleProvider、IUserProvider、IPerssionsProvider接口,当然了还需要一些配置(不过我会实现一个工具来完成这个过程)
如何使用本框架进行登录验证呢?
场景一:
考虑一个非ASP.NET 环境,你在登录窗口的登录按钮的CLICK 事件中,可以这样写:
{
if( ECubePrincipal.Login(usernmae,userpwd,true))
{
....
}
}
就这么简单。
场景二:
ASp.net环境,asp.net 中可能稍微复杂一些,因为asp.net 有自己的验证机制,但也不是没办法。
我们可以在Global.asax的方
法中写如下代码(当然你可以自己实现一个IhttpModule,不一定非得在Global.asax中)
{
if (sender == null)
{
return;
}
HttpContext Context = ((HttpApplication)sender).Context;
if (Context.User != null && !(Context.User is ECube.Business.Security.ECubePrincipal))
{
if (Context.User.Identity is FormsIdentity)
{
if (Membership.Provider is ECube.Business.Security.IUserProvider &&
Roles.Provider is ECube.Business.Security.IRoleProvider)
{
Context.User = new ECube.Business.Security.ECubePrincipal(Context.User.Identity);
}
}
else
{
Context.User = new ECube.Business.Security.ECubePrincipal(Context.User.Identity);
}
}
}
从上面这两个场景可以看到:使用ECubePrincipal进行登录验证有2种方法
一是利用Login。,二是直接new ECubePrincipal 。
三、如何进行授权
验证授权验证非常简单:
class Customer
{
void Add()
{
ECubePrincipal princ = System.Threading.Thread.CurrentPrincipal as ECube.Business.Security.ECubePrincipal
if(princ != null && princ.CheckPermission("customer.add"))
{
}
}
}
如果你在ASP.NET页面中,你还可以这样写:
ECubePrincipal princ = Page.User as ECube.Business.Security.ECubePrincipal
if(princ != null && princ.CheckPermission("customer.add"))
{
.
}
四、结束语
本框架构建在.net 2.0平台上,适用于asp.net和非asp.net环境中。
在该文章中,没有介绍的类,如IUserProivder, BizApplication(读写配置文件的类),以及实现持久化的类 ,你可以参考我的源码(其实该提供一个类图,但我的VISIO反相不了,有谁知道VISIO反相vss2005的插件,麻烦告诉我一声)。
地址为:https://files.cnblogs.com/erpcrm/ECubeSecurity.rar
该源码可能无法编译通过(因为我刚改动了数据库结构),本文属于<<利用asp.net 2.0构建企业级门户平台>> 系列文章的一部分,将来的代码你可以参考这个系列文章中的源码。