ASP.NET MVC4 自定义权限(角色)验证
来源:互联网 发布:linux time sys user 编辑:程序博客网 时间:2024/06/07 02:38
开发系统的时候,两个基本的模块是少不了的,那就是 —— 身份验证 和权限。上一篇文章我们介绍了ASP.NET MVC 身份验证,今天我们来说一下权限管理。
1. 需求:
当普通用户 进行编辑、删除操作时,系统拒绝用户的访问,若访问为异步操作,则返回 JSON数据,给出提示消息(权限不足),若为同步操作,则跳转登录页。
2. 效果:
当我以普通用户身份(user)登陆后,进行删除操作,系统拒绝了我的操作,并将消息返回给了我。
下面我们一步步介绍一下是如何实现的。
3. 自定义实现的实现
3.1 代码效果
当我 希望 Create方法只能 管理员具有权限的创建的时候,在该方法 加上 这个特性。RoleAuthorize 是我们自定义 的权限过滤器,下一小节中将介绍它。将该特性放在 Action,将对请求进行过滤,不符合权限请求,将被筛选。
其实 权限过滤器 它也属于过滤器的范畴
3.2 实现原理
ASP.NET MVC 自定义权限控制,是通过 继承 AuthorizeAttribute 类来实现的。下面介绍一下 AuthorizeAttribute 的核心方法,需要我们进行复写,自定义。
1、OnAuthorization: 核心方法,权限过滤器的入口。
2、AuthorizeCore : 核心验证方法,验证的自定义逻辑要放在这个方法里。
3、HandleUnauthorizedRequest : 验证失败后,调用的处理方法,处理验证失败,放在这个方法里。
3.3 实现代码
下面是代码,在这儿简单介绍一下 自定义权限验证的逻辑。
1、 复写 OnAuthorization 方法,在该方法里 执行父类的OnAuthorization方法。(个人感觉可以省略)
2、复写 AuthorizeCore方法,上面已经介绍过了,这个方法里 描述的是核心验证逻辑,父类的
OnAuthorization 里 是调用了 AuthorizeCore 这个方法去 验证 是否具有权限的。
这里还涉及到了一点 多态 的 知识(我们在 复写 父类的方法后,父类执行 AuthorizeCore 的方法,是子类的AuthorizeCore 的方法)
3、父类的 OnAuthorization 在使用 子类AuthorizeCore 验证后,验证成功后,会让请求 继续向下执行,
如果失败,与上面同样的道理将会调用子类的HandleUnauthorizedRequest方法,去处理不具有权限
的请求。
上面介绍了原理,下面我简单说一下 是 如何自定义AuthorizeCore验证方法的,以及验证失败后是如
何去处理的HandleUnauthorizedRequest。
AuthorizeCore 验证方法思路:
- 在这个方法里首先 httpContext.Request.IsAuthenticated 进行身份验证,身份验证通过之后;
- 获取身份验证的Cookie 并将 我存在cookie里的用户信息,提取出来。(我存储了 用户名,角色,ID,头像等)
- 获取到用户信息之后,你允许什么样的用户通过呐?那就是你随意自定义了,比如说:我定义的允许就是 你的权限(RoleID)大于我设置的权限,那你就可以通过,否则我就返回false,而后就进入了 HandleUnauthorizedRequest方法。
HandleUnauthorizedRequest 验证失败请求处理 思路
- 如果未异步请求,使用 filterContext.Result返回Json 数据。
- 如果未同步请求,使用 base.HandleUnauthorizedRequest(filterContext) 父类的处理方法去解决就可以了(父类的处理方式是跳 登录页)
/// <summary>/// 自定义权限(角色)验证/// </summary>public class RoleAuthorizeAttribute: AuthorizeAttribute{ /// <summary> /// 验证入口 /// </summary> /// <param name="filterContext"></param> public override void OnAuthorization(AuthorizationContext filterContext) { base.OnAuthorization(filterContext); } /// <summary> /// 验证核心代码 /// </summary> /// <param name="httpContext"></param> /// <returns></returns> protected override bool AuthorizeCore(HttpContextBase httpContext) { byte roleid = 0; AdminModel loginUser = new AdminModel(); if (! httpContext.Request.IsAuthenticated) { //非异步请求,跳转登录页,异步请求则交给身份验证过滤器处理(代码在执行的时候,将先执行身份验证,也就是AuthorizeAttribute类,而后才会执行过滤器。 所以如果说,身份验证是通过 过滤器实现的话,这一步判断是必须的。) if (!httpContext.Request.IsAjaxRequest()) { FormsAuthentication.RedirectToLoginPage();//重定向会登录页 } return false;//未登录返回 false } else { //登录状态获取用户信息 var cookie = httpContext.Request.Cookies[FormsAuthentication.FormsCookieName]; var ticket = FormsAuthentication.Decrypt(cookie.Value); loginUser = new JavaScriptSerializer().Deserialize<AdminModel>(ticket.UserData); roleid = FrameworkStatic.GetRoleID(this.Roles); } return IsAllow(loginUser.RoleID, roleid); } /// <summary> /// 验证失败处理 /// </summary> /// <param name="filterContext"></param> protected override void HandleUnauthorizedRequest(AuthorizationContext filterContext) { if (filterContext.HttpContext.Request.IsAjaxRequest()) { filterContext.Result = new JsonResult { Data = new { Status = -1, Message = "权限不足,服务器已拒绝您的操作!" }, JsonRequestBehavior = JsonRequestBehavior.AllowGet }; } else base.HandleUnauthorizedRequest(filterContext); return; } /// <summary> /// 判断当前用户权限是否大于目标操作权限(权限向下兼容) /// </summary> /// <param name="currentRoleId">当前角色</param> /// <param name="targetRoleId">目标角色</param> /// <returns>是否允许</returns> private bool IsAllow(byte currentRoleId,byte targetRoleId) { return currentRoleId >= targetRoleId; }}
参考博文
权限系统控制实现(推荐)
其他参考博文:
http://www.cnblogs.com/duanxian/p/5712680.html(重写无权限访问方法)
http://blog.csdn.net/gulijiang2008/article/details/8142000(大体思路)
http://www.cnblogs.com/landeanfen/p/5287064.html
http://blog.csdn.net/gulijiang2008/article/details/8142000
- ASP.NET MVC4 自定义权限(角色)验证
- ASP.NET MVC4 SimpleMembership 基于角色的权限管理机制(一)--基本配置与使用
- ASP.NET Form验证和角色权限
- ASP.NET Forms验证(自定义、角色提供程序)1
- ASP.NET Forms验证(自定义、角色提供程序)2
- ASP.NET Forms验证(自定义、角色提供程序)
- asp.net mvc 控制器&动作方法 角色 权限验证
- ASP.NET MVC4自定义分页
- 构建ASP.NET MVC4+EF5+EasyUI+Unity2.x注入的后台管理系统(24)-权限管理系统-将权限授权给角色
- ASP.NET Forms验证(自定义、角色提供程序)-.Net编程教程
- Asp.Net Forms验证(自定义、角色提供程序、单点登录)
- Asp.Net Forms验证(自定义、角色提供程序、单点登录)
- Asp.Net Forms验证(自定义、角色提供程序)
- (转帖)Asp.Net Forms验证(自定义、角色提供程序)
- Asp.Net Forms验证(自定义、角色提供程序、单点登录)
- Asp.Net Forms验证(自定义、角色提供程序)
- Asp.Net Forms验证(自定义、角色提供程序、单点登录)
- Asp.Net Forms验证(自定义、角色提供程序、单点登录)
- Python 密码穷举
- Ubuntu14.04:如何建立手机也能连上的wifi热点
- xampp中集成的数据库MariaDB中文乱码问题
- [自用门户] 自适应站点
- gridview只显示一行的问题
- ASP.NET MVC4 自定义权限(角色)验证
- Spring介绍
- 以太网学习记录(一)
- Math
- 【EXCEL】VBAEN32.OLB丢失或损坏问题修复
- 进程间通信(1)-有名管道
- 智慧城市建设,云坤疯狂为你打call~
- 项目报错“JavaServer Faces 2.2 can not be installed : One or more constraints”等一系列问题
- 【Java笔记3.5.1】自动类型转化