asp.net MVC 权限设计(续)
几点说明:
1、基于将角色与controller、action相关联来判断用户是否有权
2、通过自定义AuthorizeAttribute实现
3、demo 仅供参考,一些规则可以根据实际情况重新定义
简明需求
1、可以对每个action实现权限控制,并且可以在数据库动态配置
2、权限分为允许所有人访问、允许注册用户访问、允许\禁止特定角色人访问
数据库设计
在demo里不使用数据库,这里给出表对应的类
核心流程
我们见一个Database类来模拟数据库
来看我们的主要代码
/// /// 自定义AuthorizeAttribute/// public class UserAuthorizeAttribute : AuthorizeAttribute{ public override void OnAuthorization(AuthorizationContext filterContext) { var user = filterContext.HttpContext.Session["CurrentUser"] as User; // 用户为空,赋予Guest if (user == null) { user = Database.Users.Find(u => u.Name == "Guest"); } var controller = filterContext.RouteData.Values["controller"].ToString(); var action = filterContext.RouteData.Values["action"].ToString(); var isAllowed = this.IsAllowed(user, controller, action); if (!isAllowed) { filterContext.RequestContext.HttpContext.Response.Write("无权访问"); filterContext.RequestContext.HttpContext.Response.End(); } } /// /// 判断是否允许访问 /// /// 用户 /// 控制器 /// action /// 是否允许访问 public bool IsAllowed(User user, string controller, string action) { // 找controllerAction var controllerAction = Database.ControllerActions.Find(ca => ca.IsController == false && ca.Name == action && ca.ControllName == controller); //action无记录,找controller if (controllerAction == null) { controllerAction = Database.ControllerActions.Find(ca => ca.IsController && ca.Name == controller); } // 无规则 if (controllerAction == null) { return true; } // 允许没有角色的:也就是说允许所有人,包括没有登录的用户 if (controllerAction.IsAllowedNoneRoles) { return true; } // 允许所有角色:只要有角色,就可以访问 if (controllerAction.IsAllowedAllRoles) { var roles = Database.UserRoles.FindAll(ur => ur.UserId == user.Id); if (roles.Count > 0) { return true; } else { return false; } } // 选出action对应的角色 var actionRoles = Database.ControllerActionRoles.FindAll(ca => ca.ControllerActioId == controllerAction.Id).ToList(); if (actionRoles.Count == 0) { // 角色数量为0,也就是说没有定义访问规则,默认允许访问 return true; } var userHavedRolesids = Database.UserRoles.FindAll(ur => ur.UserId == user.Id).Select(ca => ca.RoleId).ToList(); // 查找禁止的角色 var notAllowedRoles = actionRoles.FindAll(r => !r.IsAllowed).Select(ca => ca.RoleId).ToList(); if (notAllowedRoles.Count > 0) { foreach (int roleId in notAllowedRoles) { // 用户的角色在禁止访问列表中,不允许访问 if (userHavedRolesids.Contains(roleId)) { return false; } } } // 查找允许访问的角色列表 var allowRoles = actionRoles.FindAll(r => r.IsAllowed).Select(ca => ca.RoleId).ToList(); if (allowRoles.Count > 0) { foreach (int roleId in allowRoles) { // 用户的角色在访问的角色列表 if (userHavedRolesids.Contains(roleId)) { return true; } } } // 默认禁止访问 return false; }} |
测试
[HandleError][UserAuthorize]public class HomeController : Controller{ public ActionResult Index() { ViewData["Message"] = "欢迎使用 ASP.NET MVC!"; return View(); } public ActionResult Admin() { ViewData["Message"] = "只有管理员才能访问!"; return View("Index"); } public ActionResult User() { ViewData["Message"] = "只要是注册用户就能访问!"; return View("Index"); } public ActionResult UserOnly() { ViewData["Message"] = "只能是User才能能访问!"; return View("Index"); } public ActionResult Login(string user) { Session["CurrentUser"] = Database.Users.Find(u => u.Name == user); if (Session["CurrentUser"] != null) { ViewData["Message"] = "你已登录为" + user; } return View("Index"); } public ActionResult About() { return View(); }} |
1、登录为Admin
访问Admin
访问User
访问UserOnly
2、登录为User
访问Admin
访问User
访问UserOnly
原文出处:http://www.cnblogs.com/xiaoqi/archive/2011/01/24/1942880.html
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· Linux系列:如何用heaptrack跟踪.NET程序的非托管内存泄露
· 开发者必知的日志记录最佳实践
· SQL Server 2025 AI相关能力初探
· Linux系列:如何用 C#调用 C方法造成内存泄露
· AI与.NET技术实操系列(二):开始使用ML.NET
· 被坑几百块钱后,我竟然真的恢复了删除的微信聊天记录!
· 没有Manus邀请码?试试免邀请码的MGX或者开源的OpenManus吧
· 【自荐】一款简洁、开源的在线白板工具 Drawnix
· 园子的第一款AI主题卫衣上架——"HELLO! HOW CAN I ASSIST YOU TODAY
· Docker 太简单,K8s 太复杂?w7panel 让容器管理更轻松!