mvcTips：权限设计的小技巧

 在ASP.NET MVC中，如何来实现页面的验证与授权访问呢？

 在ASP.NET MVC架构下，用户访问的每一个页面是通过Controller控制数据与视图的组合来生成HTML代码，进而向客户端输出。基于这种模式，我们可以在每个Controller或者Action上加上验证过滤就可以有效的进行授权访问了。

 代码如下：

 1 public class ValidatePower : ActionFilterAttribute
 2     {
 3         public override void OnActionExecuting(ActionExecutingContext filterContext)
 4         {
 5             if (filterContext.HttpContext.User != null && filterContext.HttpContext.User.Identity.IsAuthenticated)
 6             {                
 7                 string areaName = (string)filterContext.RouteData.DataTokens["area"];
 8                 string controllerName = (string)filterContext.RouteData.Values["controller"];
 9                 string actionName = (string)filterContext.RouteData.Values["action"];
10 
11                 //获取登录用户的当前操作权限
12                 UserService us = new UserService();
13                 if (!us.IsPermission(filterContext.HttpContext.User.Identity.Name, areaName, controllerName, actionName))
14                     filterContext.Result = new ViewResult { ViewName = "NoPermission" };
15             }
16             else
17             {
18                 filterContext.Result = new ViewResult { ViewName = "LogOn" };
19             }
20         }
21     }

 

 首先判断用户是否有效。否则转向登录页面。

 然后获取当前的area/controller/action。将其与权限列表中的area/controller/action对应。如果不存在，转到没有权限的提示页面。存在，表示有访问权限，继续执行action。