ASP.NET MVC4 权限验证

在ASP.NET MVC4 中继承ActionFilterAttribute 类，重写OnActionExecuting方法

/// <summary>

    /// 权限拦截

    /// </summary>

    [AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, AllowMultiple = false)]

    public class PermissionFilterAttribute : ActionFilterAttribute

    {

        /// <summary>

        /// 权限拦截

        /// </summary>

        /// <param name="filterContext"></param>

        public override void OnActionExecuting(ActionExecutingContext filterContext)

        {

            //权限拦截是否忽略

            bool IsIgnored = false;

            if (filterContext == null)

            {

                throw new ArgumentNullException("filterContext");

            }

            var path = filterContext.HttpContext.Request.Path.ToLower();

            //获取当前配置保存起来的允许页面

            IList<string> allowPages = ConfigSettings.GetAllAllowPage();

            foreach (string page in allowPages)

            {

                if (page.ToLower() == path)

                {

                    IsIgnored = true;

                    break;

                }

            }

            if (IsIgnored)

                return;

            //接下来进行权限拦截与验证

            object[] attrs = filterContext.ActionDescriptor.GetCustomAttributes(typeof(ViewPageAttribute), true);

            var isViewPage = attrs.Length == ;//当前Action请求是否为具体的功能页

            if (this.AuthorizeCore(filterContext) == false)//根据验证判断进行处理

            {

                //注：如果未登录直接在URL输入功能权限地址提示不是很友好；如果登录后输入未维护的功能权限地址，那么也可以访问，这个可能会有安全问题

                if (isViewPage == true)

                {

                    //跳转到登录页面

                    filterContext.RequestContext.HttpContext.Response.Redirect("~/Admin/Manage/UserLogin");

                }

                else

                {

                    object[] attrsUIException = filterContext.ActionDescriptor.GetCustomAttributes(typeof(LigerUIExceptionResultAttribute), true);

                    if (attrsUIException.Length == )

                    {

                        filterContext.Result = new FormatJsonResult() { IsError=true, Data=null,Message="您没有权限执行此操作！" };//功能权限弹出提示框

                    }

                    else

                        filterContext.RequestContext.HttpContext.Response.Redirect("~/Admin/Manage/Error");

                }

            }

        }

        /// <summary>

        /// [Anonymous标记]验证是否匿名访问

        /// </summary>

        /// <param name="filterContext"></param>

        /// <returns></returns>

        public bool CheckAnonymous(ActionExecutingContext filterContext)

        {

            //验证是否是匿名访问的Action

            object[] attrsAnonymous = filterContext.ActionDescriptor.GetCustomAttributes(typeof(AnonymousAttribute), true);

            //是否是Anonymous

            var Anonymous = attrsAnonymous.Length == ;

            return Anonymous;

        }

        /// <summary>

        /// [LoginAllowView标记]验证是否登录就可以访问(如果已经登陆,那么不对于标识了LoginAllowView的方法就不需要验证了)

        /// </summary>

        /// <param name="filterContext"></param>

        /// <returns></returns>

        public bool CheckLoginAllowView(ActionExecutingContext filterContext)

        {

            //在这里允许一种情况,如果已经登陆,那么不对于标识了LoginAllowView的方法就不需要验证了

            object[] attrs = filterContext.ActionDescriptor.GetCustomAttributes(typeof(LoginAllowViewAttribute), true);

            //是否是LoginAllowView

            var ViewMethod = attrs.Length == ;

            return ViewMethod;

        }

        /// <summary>

        /// //权限判断业务逻辑

        /// </summary>

        /// <param name="filterContext"></param>

        /// <param name="isViewPage">是否是页面</param>

        /// <returns></returns>

        protected virtual bool AuthorizeCore(ActionExecutingContext filterContext)

        {

            if (filterContext.HttpContext == null)

            {

                throw new ArgumentNullException("httpContext");

            }

            //验证当前Action是否是匿名访问Action

            if (CheckAnonymous(filterContext))

                return true;

            //未登录验证

            if (SessionHelper.Get("UserID") == null)

            {

                return false;

            }

            //验证当前Action是否是登录就可以访问的Action

            if (CheckLoginAllowView(filterContext))

                return true;

            //下面开始用户权限验证

            var user = new UserService();

            SysCurrentUser CurrentUser = new SysCurrentUser();

            var controllerName = filterContext.RouteData.Values["controller"].ToString();

            var actionName = filterContext.RouteData.Values["action"].ToString();

            //如果是超级管理员,直接允许

            if (CurrentUser.UserID == ConfigSettings.GetAdminUserID())

            {

                return true;

            }

            //如果拥有超级管理员的角色就默认全部允许

            string AdminUserRoleID = ConfigSettings.GetAdminUserRoleID().ToString();

            //检查当前角色组有没有超级角色

            if (Tools.CheckStringHasValue(CurrentUser.UserRoles, ',', AdminUserRoleID))

            {

                return true;

            }

            //Action权限验证

            if (controllerName.ToLower() != "manage")//如果当前Action请求为具体的功能页并且不是Manage中 Index页和Welcome页

            {

                //验证

                if (!user.RoleHasOperatePermission(CurrentUser.UserRoles, controllerName, actionName))//如果验证该操作是否拥有权限

                {

                    return false;

                }

            }

            //管理页面直接允许

            return true;

        }

    }

}

ASP.NET MVC4 权限验证的更多相关文章

ASP.NET MVC权限验证封装类
写该权限类主要目地为了让权限配置更加的灵活,可以根据SQL.json.或者XML的方式来动态进行页面的访问控制,以及没有权限的相关跳转. 使用步骤 1.要建一个全局过滤器 //受权过滤器 publi ...
ASP.NET通用权限验证组件实现
沙发(SF)通用权限验证组件开篇本篇介绍通用权限验证的实现代码思路,总共分为导入参数.解析XML.根据XML配置进行处理.返回结果. 代码架构图 1. 类介绍 1.SFWebPermissio ...
【ASP.NET】ASP.NET中权限验证使用OnAuthorization实现
在项目开发中,通常我们都会涉及到用户登录才能访问的网页,比如购物网站,我们浏览商品,添加购物车(以前开发的时候在这里就需要登录用户,但是现在有了缓存的实现,这里可以将商品加入缓存,等到结账的时候再登录 ...
ASP.NET MVC4系列验证机制、伙伴类共享源数据信息（数据注解和验证）
一,mvc前后台验证自定义属性标签MyRegularExpression using System; using System.Collections.Generic; using System.C ...
asp.net mvc4 远程验证
[HttpGet] public ActionResult CheckToolsIdExists(string ToolsID) { using (BaseContext context = new ...
Asp.net MVC 权限验证，以及是否允许匿名访问
public class CheckUserAttribute : ActionFilterAttribute, IAuthorizationFilter { public void OnAuthor ...
ASP.NET通用权限组件思路设计
开篇做任何系统都离不开和绕不过权限的控制,尤其是B/S系统工作原理的特殊性使得权限控制起来更为繁琐,所以就在想是否可以利用IIS的工作原理,在IIS处理客户端请求的某个入口或出口通过判断URL来达到 ...
NET MVC权限验证
ASP.NET MVC权限验证封装类写该权限类主要目地为了让权限配置更加的灵活,可以根据SQL.json.或者XML的方式来动态进行页面的访问控制,以及没有权限的相关跳转. 使用步骤 1.要建一 ...
从零开始实现asp.net MVC4框架网站的用户登录以及权限验证模块详细教程
从零开始实现asp.net MVC4框架网站的用户登录以及权限验证模块详细教程用户登录与权限验证是网站不可缺少的一部分功能,asp.net MVC4框架内置了用于实现该功能的类库,只需要简单搭 ...

随机推荐

css换行缩进
1.换行缩进 <div id="alertiframe"> <span id="closeiframe">×</span> ...
手机网站调试神器之chrome控制台
现在真是一个信息化的时代,每个人手里都拿着一款智能机,上班下班走路坐车之余都会玩玩手机,上上网.于是作为广大网站媒体来说,争抢手机市场无疑是刻不容缓.对于我们Web前端工程师来说,了解并掌握手机编程的 ...
Hadoop之MapReduce命令
概述全部的Hadoop命令都通过bin/mapred脚本调用. 在没有不论什么參数的情况下.执行mapred脚本将打印该命令描写叙述. 使用:mapred [--config confdir] CO ...
Reusing dialogs with a dialog pool--一个sql server service broker例子
一个sql server service broker例子 ----------------------------------- USE master GO -------------------- ...
excel 根据单元格内容自动调整列宽
excel 根据单元格内容自动调整列宽 CreateTime--2018年5月28日08:49:40 Author:Marydon 1.情景展示单元格宽度超过了列宽 2.解决方案第一步:同时选 ...
DB2删除重复数据
有时候DB2建表时不设置主键,就可能存在脏数据,例如:两条一样数据重复存在,这时候就需要将重复记录删除,然后留下一条记录. )); ----插入重复数据 ,'jack'); 插入数据后,结果如下图: ...
【mysql】主键、普通索引、唯一索引和全文索引的比较
YSQL索引用来快速地寻找那些具有特定值的记录,所有MySQL索引都以B-树的形式保存.如果没有索引,执行查询时MySQL必须从第一个记录开始扫描整个表的所有记录,直至找到符合要求的记录.表里面的记 ...
C++求两个数的最大值
//不使用if,:?等推断语句.求两个数字中最大的那个数字. #include<iostream> using namespace std; int main() { int a = -1 ...
Tomcat服务器配置https协议(Tomcat HTTPS/SSL 配置)
通常商用服务器使用https协议需要申请SSL证书,证书都是收费的,价格有贵的有便宜的.它们的区别是发行证书的机构不同,贵的证书机构更权威,证书被浏览器否决的几率更小. 非商业版本可以通过keytoo ...
线程池c3p0和dbcp2的配置初始化实例
一.c3p0 public class ConnectionManager { public static ComboPooledDataSource dataSource; static { try ...

ASP.NET MVC4 权限验证

ASP.NET MVC4 权限验证的更多相关文章

随机推荐

热门专题