C# 单点登录 MVC
2013-08-17 08:57 通用C#系统架构 阅读(51472) 评论(28) 编辑 收藏 举报实现sso系统的主要难点:
1:不能直接访问数据库,有安全隐患,而且还容易乱套。
2:多个系统需要进行单点登录,逻辑需要严谨,能支持N多系统、而不只是少数几个系统。
3:代码不能过于复杂,需要简洁,灵活支持本地部署,单点部署,集群部署,相同的代码可以通过部署配置灵活实现服务段(sso)、本地段(子网站)功能。
4:多系统的权限也可以灵活判断,不能访问数据库,需要进行远程服务调用,而且还需要对外部系统能提供调用接口。
5:需要有一定的安全性,能防止注入攻击等等。
6:权限定义需要非常灵活,可以定义10个权限,也可以定义100个权限,可以根据url进行权限判断,同时可以是n多个业务系统。
7:需要稳定,2周内就搞定,1周后交付测试,而不是需要研究2个月才能搞定,或者研究2年。
单点登录常见需求:
跨应用、跨域、跨机器的单点登录。
1、流程:
a) 用户直接访问门户url,登录成功后跳转到默认应用的url。
跨应用、跨域、跨机器的单点登录。
1、流程:
a) 用户直接访问门户url,登录成功后跳转到默认应用的url。
程序里需要引用2个Dll,通用权限管理系统组件的,这2个dll主要实现权限判断,登录功能等。
下面是登录页面的位置
这里是MVC默认的登录页面,
上图是需要登录的功能定义部分。
在 MVC 里加上 [NeedAuthorize] 就可以默认要求登录了。不登录不允许访问了。
b) 用户直接访问应用url,若未登录,跳转到登录页面的url,完成登录后,跳转回应用url。
上图是跳转的处理,若没指定需要跳转的页面,那就默认回到首页,若有指定的 returnUrl,就跳转回指定的页面里。
c) 用户已经登录,用户直接访问应用的URL,若该用户无权限,跳转到指定的url
没有访问权限的用户会被重定向到没权限访问的页面
系统中的注意事项,先看下图
NeedUrlAuthorizedAttribute 是需要进行url验证用的属性,在需要控制的Controller上加上,例如
判断是否有url权限的调用方法如下:
[NeedAuthorize] 需要进行登录(这个可以省略)
[NeedUrlAuthorized] 需要进行Url验证 (首先会要求需要登录)
[HttpPost]
public ActionResult User(Friend.Models.User model)
[NeedUrlAuthorized] 需要进行Url验证 (首先会要求需要登录)
[HttpPost]
public ActionResult User(Friend.Models.User model)
{
}
PermissionWebService 是进行权限验证中心远程进行权限判断的WebService,是引用了
http://www.sso.com/PermissionService.asmx 这个WebService。
需要在配置文件里进行
配置
SystemCode, 主要是来识别,是哪个子系统的权限?因为当前可能10多个网站,那就是有10多个子系统,那就每个子系统需要有一个唯一识别的编号。
那如何设置某个子系统的用的url权限?看下图(用户权限配置参考,子系统设置菜单、菜单编号、菜单url设置):
若没登录,就会提示先登录
登录后,若没权限访问这个页面,就会提示没权限访问。
可以点网页下面的 有情连接进行测试,不用在url里人工输入。
d) 用户已经登录,用户直接访问用户有权限的应用url,通过。
与上面的需求一致,有权限的自然能通过调用。
有URL访问权限的,可以显示页面效果如下
E) 跨域的单点登录、权限判断需要注意的配置部分。
需要在其他需要接入的 其他应用里需要加上这3个配置,认证主服务器上不要进行这个配置,需要删除掉这几行配置信息才可以。
2、验证码的生成,封装成一个插件,方便各种加强版本的验证需要。
这个是一个通用的严正码设置与验证码校验的类,可以按自己的需要进行修改。
//----------------------------------------------------------------- // All Rights Reserved , Copyright (C) 2013 , Hairihan TECH, Ltd. //----------------------------------------------------------------- using System; using System.Data; using System.Data.Common; using System.Collections.Generic; namespace DotNet.Business { using DotNet.Utilities; /// <summary> /// BaseUserManager /// 用户管理 /// /// 修改纪录 /// /// 2013.08.17 版本:1.0 JiRiGaLa 用户登录后才设置验证码、获取验证码等。 /// /// <author> /// <name>JiRiGaLa</name> /// <date>2011.10.17</date> /// </author> /// </summary> public partial class BaseUserManager : BaseManager { #region public int SetVerificationCode(string userId, string verificationCode) 设置验证码 /// <summary> /// 设置验证码 /// </summary> /// <param name="userId">用户主键</param> /// <param name="verificationCode">验证码</param> /// <returns>影响行数</returns> public int SetVerificationCode(string userId, string verificationCode) { int result = 0; if (string.IsNullOrEmpty(userId) && this.UserInfo != null) { userId = this.UserInfo.Id; } string sqlQuery = string.Empty; sqlQuery = " UPDATE " + BaseUserLogOnEntity.TableName + " SET " + BaseUserLogOnEntity.FieldVerificationCode + " = " + DbHelper.GetParameter("VerificationCode") + " WHERE " + BaseUserLogOnEntity.FieldId + " = " + DbHelper.GetParameter("UserId"); List<IDbDataParameter> dbParameters = new List<IDbDataParameter>(); dbParameters.Add(DbHelper.MakeParameter("VerificationCode", verificationCode)); dbParameters.Add(DbHelper.MakeParameter("UserId", userId)); result = DbHelper.ExecuteNonQuery(sqlQuery, dbParameters.ToArray()); return result; } #endregion #region public bool Verify(string userId, string verificationCode) /// <summary> /// 验证,验证码是否正确 /// </summary> /// <param name="userId">用户主键</param> /// <param name="verificationCode">验证码</param> /// <returns></returns> public bool Verify(string userId, string verificationCode) { bool result = false; string sqlQuery = string.Empty; // 最后一次登录时间 sqlQuery = " SELECT COUNT(1)" + " FROM " + BaseUserLogOnEntity.TableName + " WHERE " + BaseUserLogOnEntity.FieldVerificationCode + " = " + DbHelper.GetParameter("VerificationCode") + " AND " + BaseUserLogOnEntity.FieldId + " = " + DbHelper.GetParameter("UserId"); List<IDbDataParameter> dbParameters = new List<IDbDataParameter>(); dbParameters.Add(DbHelper.MakeParameter("VerificationCode", verificationCode)); dbParameters.Add(DbHelper.MakeParameter("UserId", userId)); object exist = DbHelper.ExecuteScalar(sqlQuery, dbParameters.ToArray()); if (exist != null) { if (BaseSystemInfo.OnLineLimit <= int.Parse(exist.ToString())) { result = true; } } return result; } #endregion } }
3、提供远程访问接口:用户信息的访问;权限信息的访问。访问方式可以是Webservice的方式,封装成一个访问类,方便别人调用。
PermissionService.asmx 权限的WebService中有方法可以获取用户的权限,权限主要注意
1):要判断哪个子系统的权限?
2):每个权限都有一个不重复的编号来识别的。
//----------------------------------------------------------------------- // <copyright file="FriendFansManager.Auto.cs" company="Hairihan"> // Copyright (c) 2013 , All rights reserved. // </copyright> //----------------------------------------------------------------------- using System; using System.Collections.Generic; using System.Linq; using System.Web; using System.Web.Services; using DotNet.Business; namespace Friend { /// <remarks> /// PermissionWebService /// 权限检查的WebService /// /// 修改纪录 /// /// 2013.08.17 版本:1.0 JiRiGaLa 更新审核意见。 /// /// 版本:1.0 /// /// <author> /// <name>JiRiGaLa</name> /// <date>2013.08.17</date> /// </author> /// </remarks> [WebService(Namespace = "http://tempuri.org/")] [WebServiceBinding(ConformsTo = WsiProfiles.BasicProfile1_1)] [System.ComponentModel.ToolboxItem(false)] // 若要允许使用 ASP.NET AJAX 从脚本中调用此 Web 服务,请取消对下行的注释。 // [System.Web.Script.Services.ScriptService] public class PermissionService : System.Web.Services.WebService { // 如果当前用户没登录后台的权限 DotNet.Business.PermissionService permissionService = new DotNet.Business.PermissionService(); // 如果当前用户登录 // DotNet.Utilities.BaseUserInfo userInfo = Utilities.CheckCookie(HttpContext.Current.Request); public PermissionService() { /* if (userInfo != null && !string.IsNullOrEmpty(userInfo.Code)) { if (!string.IsNullOrEmpty(permissionItemCode)) { bool permissionAdmin = permissionService.IsAuthorizedByUser(userInfo, userInfo.Id, permissionItemCode, string.Empty); if (!permissionAdmin) { throw new Exception("没有权限访问。"); } } } else { throw new Exception("没有权限访问。"); } */ } #region public bool IsUserInRole(string systemCode, string userId, string roleCode) /// <summary> /// 用户是否在某个角色里 /// </summary> /// <param name="systemCode">子系统编号</param> /// <param name="userId">用户主键</param> /// <param name="roleCode">角色编号</param> /// <returns>是否在某个角色里</returns> [WebMethod] public bool IsUserInRole(string systemCode, string userId, string roleCode) { // 需要创建个用户对象 DotNet.Utilities.BaseUserInfo userInfo = new DotNet.Utilities.BaseUserInfo(); // 若没指定是哪个子系统,默认就是基础系统 if (string.IsNullOrEmpty(systemCode)) { systemCode = "Base"; } userInfo.SystemCode = systemCode; // 判断用户是否在指定的角色里? BaseUserManager userManager = new BaseUserManager(userInfo); return userManager.IsInRoleByCode(userId, roleCode); } #endregion #region public bool IsAuthorized(string systemCode, string userId, string permissionItemCode) /// <summary> /// 对某个模块、操作是否有权限? /// </summary> /// <param name="systemCode">子系统编号</param> /// <param name="userId">用户主键</param> /// <param name="permissionItemCode">操作权限编号、模块编号</param> /// <returns>是否拥有操作权限</returns> [WebMethod] public bool IsAuthorized(string systemCode, string userId, string permissionItemCode) { bool returnValue = false; // 需要创建个用户对象 DotNet.Utilities.BaseUserInfo userInfo = new DotNet.Utilities.BaseUserInfo(); // 若没指定是哪个子系统,默认就是基础系统 if (string.IsNullOrEmpty(systemCode)) { systemCode = "Base"; } userInfo.SystemCode = systemCode; // 实时从数据库判断权限的调用方法 returnValue = permissionService.IsAuthorizedByUser(userInfo, userId, permissionItemCode, string.Empty); return returnValue; } #endregion #region public bool IsUrlAuthorized(string systemCode, string userId, string url) /// <summary> /// 对某个模块、操作是否有权限? /// </summary> /// <param name="systemCode">子系统编号</param> /// <param name="userId">用户主键</param> /// <param name="url">按网址授权</param> /// <returns>是否拥有操作权限</returns> [WebMethod] public bool IsUrlAuthorized(string systemCode, string userId, string url) { bool returnValue = false; // 需要创建个用户对象 DotNet.Utilities.BaseUserInfo userInfo = new DotNet.Utilities.BaseUserInfo(); // 若没指定是哪个子系统,默认就是基础系统 if (string.IsNullOrEmpty(systemCode)) { systemCode = "Base"; } userInfo.SystemCode = systemCode; // 实时从数据库判断权限的调用方法 returnValue = permissionService.IsUrlAuthorizedByUser(userInfo, userId, url); return returnValue; } #endregion #region public string[] GetUserPermissions(string systemCode, string userId) /// <summary> /// 获取用户的所有权限列表 /// </summary> /// <param name="systemCode">子系统编号</param> /// <param name="userId">用户主键</param> /// <returns>权限编号数组</returns> [WebMethod] public string[] GetUserPermissions(string systemCode, string userId) { List<string> permissions = new List<string>(); // 需要创建个用户对象 DotNet.Utilities.BaseUserInfo userInfo = new DotNet.Utilities.BaseUserInfo(); // 若没指定是哪个子系统,默认就是基础系统 if (string.IsNullOrEmpty(systemCode)) { systemCode = "Base"; } userInfo.SystemCode = systemCode; // 获取用户的所有权限列表 List<BaseModuleEntity> entityList = permissionService.GetModuleListByUser(userInfo, userId); foreach (var entity in entityList) { // 权限编号 // entity.Code; permissions.Add(entity.Code); // 能访问的url列表 // entity.NavigateUrl; // entity.FullName; } return permissions.ToArray(); } #endregion } }
A: SSO服务器端配置说明:
1: 附加数据库,把sql2008数据库配置好,附加DotNet.CommonV3.9\DotNet.DataBase\SQL2008\UserCenter39
2: 配置 DotNet.Common\Friend, MVC的单点登录程序,配置数据库连接Web.config中的UserCenterDbConnection的数据库连接。
3: 删除单点登录的SSO,SSOVerify,SSOPermissionService项目,从Web.config中。
进行以上3个步骤,mvc 的 SSO 服务器端就配置好了,在iis里设置好MVC网站就可以了。
B: SSO 客户端的配置说明:
1:添加2个dll的引用,DotNet.Business、 DotNet.Utilities,dll在 DotNet.Common\Friend\External 目录下。
2:Controller 需要加 [NeedAuthorize] 进行单点登录控制, [NeedUrlAuthorized]进行ul 权限限制。
3:Web.config 中加 SSO,SSOVerify,SSOPermissionService 的配置。
4:添加 PermissionWebService 引用,就是需要引用 上面里的单点登录 WebService。
5:Global.asax 中需要写一下 Application_Start() 中的代码复制过去。
目前通用权限管理系统组件完全满足以上需求,方便快速开发各种 .Net 应用软件。
主要需要整理的部分如下列表中的问题
01:MVC 单点登录需求
02:MVC 数据库连接的配置。
03:MVC 用户名密码登录,有错误时需要有错误提示信息。
04:MVC 里保存密码的方式,Cokies 保存测试。
05:MVC cookies 保存的时间长度设置,是否启用cookies。
06:MVC 若有登录自动跳转地址的方式。
07:MVC 用OpenId(Key)登录的方式,登录跳转的优化。
08:MVC 多系统支持单点登录的配置注意事项。
09:MVC 权限判断的例子。
10:MVC URL 权限判断的例子。
11:MVC 退出功能的深入优化,能退出子系统也可以退出主系统。
02:MVC 数据库连接的配置。
03:MVC 用户名密码登录,有错误时需要有错误提示信息。
04:MVC 里保存密码的方式,Cokies 保存测试。
05:MVC cookies 保存的时间长度设置,是否启用cookies。
06:MVC 若有登录自动跳转地址的方式。
07:MVC 用OpenId(Key)登录的方式,登录跳转的优化。
08:MVC 多系统支持单点登录的配置注意事项。
09:MVC 权限判断的例子。
10:MVC URL 权限判断的例子。
11:MVC 退出功能的深入优化,能退出子系统也可以退出主系统。
将权限管理、工作流管理做到我能力的极致,一个人只能做好那么很少的几件事情。
