文本为您介绍:自定义AuthorizeAttribute实现MVC权限设计,主要是通过将角色与controller、action等参数关联进行用户权限判断,然后通过自定义AuthorizeAttribute来实现实现这一功能,同时根据情况会对一些规则进行一些调整,下面请看内容:

简明需求

1、可以对每个action实现权限控制,并且可以在数据库动态配置

2、权限分为允许所有人访问、允许注册用户访问、允许\禁止特定角色人访问

数据库设计

在demo里不使用数据库,这里给出表对应的类

/// /// 控制器和Action/// public class ControllerAction{public int Id{get;set;}public string Name{get;set;}/// /// IsController是指是否是controller,如果为false,/// 表示是action,那么controllerName字段就派上用场了/// public bool IsController{get;set;}/// /// 控制器名称/// 如果IsController为false,该项不能为空/// public string ControllName{get;set;}/// /// 是指是否允许没有权限的人访问 /// public bool IsAllowedNoneRoles{get;set;}/// /// 是否允许有角色的人访问 /// public bool IsAllowedAllRoles{get;set;}}/// /// 用户与角色的关联表/// public class ControllerActionRole{public int Id{get;set;}/// /// 对应的ControllerAction编号/// public int ControllerActioId{get;set;}/// /// 对应的角色编号/// public int RoleId{get;set;}/// /// IsAllowed表示包含RoleId的用户是否有权限访问ControllerActioId/// public bool IsAllowed{get;set;}}/// /// 角色/// public class Role{public int Id{get;set;}public string Name{get;set;}public string Description{get;set;}}/// /// 用户/// public class User{public int Id{get;set;}public string Name{get;set;}}/// /// 用户与角色的关联表/// public class UserRole{public int Id{get;set;}public int UserId{get;set;}public int RoleId{get;set;}}

核心流程

我们见一个Database类来模拟数据库

/// /// /// 模拟数据库/// public class Database{public static List Users;public static List Roles;public static List UserRoles;public static List ControllerActions;public static List ControllerActionRoles;static Database(){// 初始化用户Users = new List(){new User(){Id=1,Name="Admin"},new User(){Id=2,Name ="User"},new User(){Id=3,Name="Guest"}};Roles = new List(){new Role() {Id=1,Name="Administrator"},new Role() {Id=2,Name="User"}};UserRoles = new List(){new UserRole(){Id=1,RoleId=1,UserId=1}, //管理员new UserRole(){Id=2,RoleId=2,UserId=2} //用户};ControllerActions = new List(){new ControllerAction(){Id=1,Name="Index",IsController=true,IsAllowedNoneRoles=true,IsAllowedAllRoles=true}, // /Home 允许所有人访问new ControllerAction(){Id=2,ControllName="Home",Name="Admin",IsController=false,IsAllowedNoneRoles=false,IsAllowedAllRoles = false}, // /Home/Admin 管理员才能访问new ControllerAction(){Id=3,ControllName="Home",Name="User",IsController=false,IsAllowedNoneRoles=false,IsAllowedAllRoles = true}, // /Home/User 有角色的人才能访问new ControllerAction(){Id=4,ControllName="Home",Name="UserOnly",IsController=false,IsAllowedNoneRoles=false,IsAllowedAllRoles = false}, // /Home/UserOnly 用户才能访问};ControllerActionRoles = new List() { new ControllerActionRole(){ Id=1,ControllerActioId = 2,RoleId = 1,IsAllowed = true },  // 管理员才能访问new ControllerActionRole(){ Id=2,ControllerActioId = 4,RoleId = 2,IsAllowed = true }  // USER才能访问};}}

来看我们的主要代码

      /// /// 自定义AuthorizeAttribute/// public class UserAuthorizeAttribute : AuthorizeAttribute{public override void OnAuthorization(AuthorizationContext filterContext){var user = filterContext.HttpContext.Session["CurrentUser"] as User;// 用户为空,赋予Guestif (user == null){user = Database.Users.Find(u => u.Name == "Guest");}var controller = filterContext.RouteData.Values["controller"].ToString();var action = filterContext.RouteData.Values["action"].ToString();var isAllowed = this.IsAllowed(user, controller, action);if (!isAllowed){filterContext.RequestContext.HttpContext.Response.Write("无权访问");filterContext.RequestContext.HttpContext.Response.End();}}/// /// 判断是否允许访问/// ///  用户///  控制器///  action/// 是否允许访问public bool IsAllowed(User user, string controller, string action){// 找controllerActionvar controllerAction = Database.ControllerActions.Find(ca => ca.IsController == false && ca.Name == action && ca.ControllName == controller);//action无记录,找controllerif (controllerAction == null){controllerAction = Database.ControllerActions.Find(ca => ca.IsController && ca.Name == controller);}// 无规则if (controllerAction == null){return true;}// 允许没有角色的:也就是说允许所有人,包括没有登录的用户 if (controllerAction.IsAllowedNoneRoles){return true;}// 允许所有角色:只要有角色,就可以访问 if (controllerAction.IsAllowedAllRoles){var roles = Database.UserRoles.FindAll(ur => ur.UserId == user.Id);if (roles.Count > 0){return true;}else{return false;}}// 选出action对应的角色 var actionRoles = Database.ControllerActionRoles.FindAll(ca => ca.ControllerActioId == controllerAction.Id).ToList();if (actionRoles.Count == 0){// 角色数量为0,也就是说没有定义访问规则,默认允许访问 return true;}var userHavedRolesids = Database.UserRoles.FindAll(ur => ur.UserId == user.Id).Select(ca => ca.RoleId).ToList();// 查找禁止的角色 var notAllowedRoles = actionRoles.FindAll(r => !r.IsAllowed).Select(ca => ca.RoleId).ToList();if (notAllowedRoles.Count > 0){foreach (int roleId in notAllowedRoles){// 用户的角色在禁止访问列表中,不允许访问 if (userHavedRolesids.Contains(roleId)){return false;}}}// 查找允许访问的角色列表 var allowRoles = actionRoles.FindAll(r => r.IsAllowed).Select(ca => ca.RoleId).ToList();if (allowRoles.Count > 0){foreach (int roleId in allowRoles){// 用户的角色在访问的角色列表 if (userHavedRolesids.Contains(roleId)){return true;}}}// 默认禁止访问return false;}}

测试

    [HandleError][UserAuthorize]public class HomeController : Controller{public ActionResult Index(){ViewData["Message"] = "欢迎使用 ASP.NET MVC!";return View();}public ActionResult Admin(){ViewData["Message"] = "只有管理员才能访问!";return View("Index");}public ActionResult User(){ViewData["Message"] = "只要是注册用户就能访问!";return View("Index");}public ActionResult UserOnly(){ViewData["Message"] = "只能是User才能能访问!";return View("Index");}public ActionResult Login(string user){Session["CurrentUser"] = Database.Users.Find(u => u.Name == user);if (Session["CurrentUser"] != null){ViewData["Message"] = "你已登录为" + user;}return View("Index");}public ActionResult About(){return View();}}

1、登录为Admin

访问Admin

访问User

访问UserOnly

2、登录为User

访问Admin

访问User

访问UserOnly

demo下载 MVCRole.rar

文章内容自定义AuthorizeAttribute实现MVC权限设计就此结了,大伙可寻得源码研究。

转载于:https://www.cnblogs.com/dyg540/archive/2012/04/19/2457376.html

自定义AuthorizeAttribute实现MVC权限设计相关推荐

  1. asp.net MVC 权限设计(续)

    asp.net MVC 权限设计一文中没有demo放出来,应大家的要求,这里补充上文并放出demo. 几点说明: 1.基于将角色与controller.action相关联来判断用户是否有权 2.通过自 ...

  2. asp.net MVC 权限设计

    几点说明: 1.该权限系统是个网站用的,用户简单,因此不涉及到部门这些信息 2.基于将角色与controller.action相关联来判断用户是否有权 3.通过重载AuthorizeAttribute ...

  3. Asp.net MVC权限设计思考 (一)数据库建库部分

    目前各类的权限设计已经困扰了我们好久,对于MVC,下面我将通过ActionFilter来扩展我们的权限认证,以下示例是从我的一个课程中心项目中提取出来,希望对各位初学者起到抛砖引玉的作用. 下面首先来 ...

  4. MVC自定义AuthorizeAttribute实现权限管理

    [转]MVC自定义AuthorizeAttribute实现权限管理 原文载自:小飞的DD http://www.cnblogs.com/feiDD/articles/2844447.html 网站的权 ...

  5. c# mvc 自定义AuthorizeAttribute

    1)自定义AuthorizeAttribute using System; using System.Collections.Generic; using System.Linq; using Sys ...

  6. ASP.NET MVC+EF框架+EasyUI实现权限管理系列(13)-权限设计

    原文:ASP.NET MVC+EF框架+EasyUI实现权限管理系列(13)-权限设计 ASP.NET MVC+EF框架+EasyUI实现权限管系列 (开篇)   (1):框架搭建    (2):数据 ...

  7. 跟我学Springboot开发后端管理系统8:Matrxi-Web权限设计实现

    上篇文章讲述了Matrix-web整体实现的权限控制的思路.现在来回顾一下: 首先,用户需要登录,填用户名.密码,后端接收到登录请求,进行用户.密码的校验,校验成功后则根据用户名生成Token,并返回 ...

  8. 跟我学Springboot开发后端管理系统7:Matrxi-Web权限设计

    Matrxi-Web权限设计 对于一个后端系统来说,权限是基础设施,是安全保障.没有权限,系统可能随时面临各种风险,所以权限设计对后端系统来说至关重要.在Javaweb开发中,有很多权限开发的框架,比 ...

  9. SpringMVC IP权限设计

    SpringMVC IP权限设计 在开发中遇见这样的需求,指定某些IP用户,这些IP用户发送过来的请求,不需要进行权限判断:让他们越过登录页,直接进入到其浏览器输入URL所指向的页面.我用的是spri ...

最新文章

  1. 统一异常处理+错误编码设计方案
  2. 【Java Web后台实验与开发】ServletHTTPRequest笔记
  3. leetcode 打印_LeetCode第118号问题:杨辉三角
  4. FTP服务器之pure-ftpd常见问题及解决方法
  5. Python解释器工作原理与jit技术
  6. java 调用 mahout_java – 运行Mahout本地获取MahoutDriver的ClassNotFoundException
  7. 改善深层神经网络:超参数调整、正则化以及优化——2.5 指数加权平均的偏差修正
  8. win7计算机菜单,教您win7右键菜单设置方法
  9. mysql数据库怎么读文件_mysql数据库读写文件
  10. 在线正则表达式测试,正则替换工具
  11. 网络唤醒无需任何软件,实现局域网广域网远程唤醒计算机
  12. AtCode Beginner Contest 096
  13. 学习笔记(27):玩转Python-Python3基础入门-案例-快递价格计算器(2)
  14. python合并视频(mp4+mp3)
  15. 不安装office的情况下如何实现对excel的导入导出
  16. 直播电商平台开发,video组件实现视频弹幕功能
  17. 搜狗浏览器在高速模式下,右键点击才会出现“审查元素”
  18. 自由落体matlab代码,应用MATLAB辅助自由落体运动教学
  19. Kubernetes之(二十)Helm程序包管理器
  20. windows - 网络流量监控工具

热门文章

  1. NSX ALB + Harbor + OpenShift 4.8 UPI安装配置实验笔记系列目录
  2. 禁用和卸载Hyper-V后让自己电脑运行速度快
  3. 【算法分析】分支限界法详解+范例+习题解答
  4. 12306静态页面HTML制作
  5. 移动手机版网页模板集合
  6. oracle数据库下载免费下载,oracle数据库下载地址
  7. MFC 串口通信编程
  8. MATLAB图像处理工具箱
  9. 好的软文思路软文写作灵感源于诲人不倦的写作修炼
  10. 我的动态头像啊。~~~