利用HttpModule集中处理身份检查

来源：互联网发布：电脑影音制作软件编辑：程序博客网时间：2024/04/29 16:14

在线考试系统总共包括三种用户（学生、教师、管理员）。他们分别有自己的操作权限。而这些操作分别包含在不同的页面中。为了简单的划分。系统将三种用户的操作页面分别放到了不同的路径下。下图4-5是三个用户各自的文件夹内容。

图4-5 不同用户的文件组织类图

因为每个用户都不能访问其他用户的页面。所以我们除了要检查用户的登陆还要检查用户的权限，看是否允许用户访问特定的页面。首先介绍下用户登陆的设计和实现。下图4-6是用户登陆和权限管理涉及的领域类

图4-6 用户管理模块类图

因为验证用户的职责和领域类无关，所以我们将用户验证的职责分配给了UserService对象。UserService对象除了具有CRUD用户领域类的操作外。还有一个CheckLogin的方法。该方法根据用户的输入的登录名和密码。判断是否为合法用户。如果合法将返回该用户的一个对象，否则返回空。下面是CheckLogin方法的实现。

namespace ExaminationSystem.BLL.Service

{

public class UserService:AbstractService<User,IUserDao>

{

public User CheckLogin(string loginName, string password)

{

//从数据库获取相同登陆名对象

User example = new User();

example.LoginName = loginName;

User user = Dao.GetUniqueByExample(example);

if (user.Password == password)

return user;//密码正确返回该用户

return null;//否则返回空

}

上面代码展示的是真实的代码实现。我们可以看到用面向对象的方式编写代码代码的易读性得到大大的提高。UserService类从泛型的抽象类AbstractService继承了基本的CRUD操作。下面看看该方法由于继承带来的通用性。由于Student、Teacher、Admin都继承自User所以我们的登陆方法可以适用于所以的用户。所以我们只需要有一个用户登陆页面就可以了.

下面是登陆页面的登陆按钮的事件处理函数的实现。

protected void LoginButton_Click(object sender, EventArgs e)

{

UserService service = new UserService();

User user = service.CheckLogin(LoginNameTextBox.Text, PasswordTextBox.Text);

if (user is Student)

{

Session["User"] = user;

Response.Redirect("Student/Default.aspx");

}

if (user is Teacher)

{

Session["User"] = user;

Response.Redirect("Teacher/Subject.aspx");

}

if (user is Admin)

{

Session["User"] = user;

Response.Redirect("Admin/Admin.aspx");

}

if (user == null)

{

MessageLabel.Text = "用户信息不正确！";

}

调用CheckLogin后只要判断返回的User具体是那个用户类型。然后跳转到相应用户的默认页面。之前有个Session["User"] = user;可以看出系统是通过Session来记录用户的身份的。因为Session是服务器端的所以它比Cookie更加的安全。由于学生考试时间和教师管理工作需要很长的时间系统将Session的超时时间从默认20分钟调整到了2小时。如果需要可以在Web.config文件中继续调整。

有了登陆的实现下面介绍如何实现用户身份检查的。因为每个页面都必须有特定的身份才能访问。因为用户登陆后已经用Session记录了用户的身份。要想限制用户对某个页面的访问只要在该页面里取出Session里的用户对象看是否是要求的角色就行了。比如想让添加班级的页面只允许Admin来访问。可以在Class.aspx页面的Page_Load事件处理函数里判断用户权限。下面代码说明了如何来防止Class.aspx被其他用户访问。

protected void Page_Load(object sender, EventArgs e)

{

if (Session["User"] != null)

{

User user = (User)Session["User"];

if (user is not Admin)

{

Response.Redirect("Login.aspx");

}

else

{

Response.Redirect("Login.aspx");

}

上面伪代码说明如果用户没有登陆则转到登陆页面，如果已经登陆但是身份不是Admin也转到登陆页面。只有登陆且身份是Admin才能访问该页面。利用这种方式可在每个页面做类似的检查就可以实现用户权限管理。但是，这种方式的缺点是到处要重复类似的检查。这样管理起来比较的麻烦。而且每个页面都包含身份检查的代码也让页面理解起了比较麻烦。利用Asp.net 框架可以加入自定义的http请求处理模块。HttpModule是Asp.net框架提供给用户在每次http请求前后插入自定义逻辑的机制。编写的自定义模块必须实现IHttpModule接口。然后通过配置Web.config文件将自定义模块加入到Asp.net的请求管道中。这样就可以将自定义的行为加入到每个http请求的前后。在自定义的处理模块中可以根据请求的URL集中的为每个http请求做身份检查。下面代码是系统安全检查模块

namespace ExaminationSystem.Web

{

public class SecurityModule : IHttpModule

{

public void Init(HttpApplication context)

{

context.PostAcquireRequestState += new EventHandler(CheckUser);

}

private void CheckUser(object sender, EventArgs e)

{

if (HttpContext.Current.Request == null || HttpContext.Current.Session==null)

return;

HttpContext context = HttpContext.Current;

if (context.Request.Url.AbsolutePath.ToLower().Contains("/admin/") && !(context.Session["User"] is Admin))

{

context.Response.Redirect("~/Default.aspx");

}

if (context.Request.Url.AbsolutePath.ToLower().Contains("/teacher/") && !(context.Session["User"] is Teacher))

{

context.Response.Redirect("~/Default.aspx");

}

if (context.Request.Url.AbsolutePath.ToLower().Contains("/student/") && !(context.Session["User"] is Student))

{

context.Response.Redirect("~/Default.aspx");

}

public void Dispose() { }

}

我们首先在 Init方法中注册PostAcquireRequestState处理函数。因为在该事件中Session才可以被访问到。在事件处理函数中我们首先要检查Session和Request对象是否存在。如果存在。就继续检查用户请求的页面是否和自己拥有的身份一致。可以看到是根据请求URL中是否包含teacher,student,admin来判断用户请求的页面类型的。因为每个用户的可操作页面都在不同的文件夹下。所以检查用户请求页面类型时候只需要检查请求路径中是否包含特定名称就行了。比如请求http://localhost/exam/admin/admin.aspx因为请求中包含”/admin/”所以就可以知道必须要Admin权限参能访问该页面。然后我们检查Session中的用户对象是否是Admin类型。如果不是则将请求转到默认的登陆页面。这样就完成了用户的权限管理。