ASP.NET MVC 建立 ASP.NET 基础之上,很多 ASP.NET 的特性(如窗体身份验证、成员资格)在 MVC 中可以直接使用。本文旨在提供可参考的代码,不会涉及这方面太多理论的知识。

本文仅使用 ASP.NET 的窗体身份验证,不会使用它的 成员资格(Membership) 和 角色管理 (RoleManager),原因有二:一是不灵活,二是和 MVC 关系不太。

一、示例项目

User.cs 是模型文件,其中包含了 User 类:

public class User

{

    public int ID { get; set; }

    public string Name { get; set; }

    public string Password { get; set; }

    public string[] Roles { get; set;  }

}

UserRepository 为数据存取类,为了演示方便,并没有连接数据库,而是使用一个数组来作为数据源:

public class UserRepository

{

    private static User[] usersForTest = new[]{

        new User{ ID = 1, Name = "bob", Password = "bob", Roles = new []{"employee"}},

        new User{ ID = 2, Name = "tom", Password = "tom", Roles = new []{"manager"}},

        new User{ ID = 3, Name = "admin", Password = "admin", Roles = new[]{"admin"}},

    };

    public bool ValidateUser(string userName, string password)

    {

        return usersForTest

            .Any(u => u.Name == userName && u.Password == password);

    }

    public string[] GetRoles(string userName)

    {

        return usersForTest

            .Where(u => u.Name == userName)

            .Select(u => u.Roles)

            .FirstOrDefault();

    }

    public User GetByNameAndPassword(string name, string password)

    {

        return usersForTest

            .FirstOrDefault(u => u.Name == name && u.Password == password);

    }

}

二、用户登录及身份验证

方式一

修改 AccountController:原有 AccountController 为了实现控制反转,对窗体身份验证进行了抽象。为了演示方便,我去除了这部分(以及注册及修改密码部分):

public class AccountController : Controller

{

    private UserRepository repository = new UserRepository();

    public ActionResult LogOn()

    {

        return View();

    }

    [HttpPost]

    public ActionResult LogOn(LogOnModel model, string returnUrl)

    {

        if (ModelState.IsValid)

        {

            if (repository.ValidateUser(model.UserName, model.Password))

            {

                FormsAuthentication.SetAuthCookie(model.UserName, model.RememberMe);

                if (!String.IsNullOrEmpty(returnUrl)) return Redirect(returnUrl);

                else return RedirectToAction("Index", "Home");

            }

            else

                ModelState.AddModelError("", "用户名或密码不正确!");

        }

        return View(model);

    }

    public ActionResult LogOff()

    {

        FormsAuthentication.SignOut();

        return RedirectToAction("Index", "Home");

    }

}

修改 Global.asax:

public class MvcApplication : System.Web.HttpApplication

{

    public MvcApplication()

    {

        AuthorizeRequest += new EventHandler(MvcApplication_AuthorizeRequest);

    }

    void MvcApplication_AuthorizeRequest(object sender, EventArgs e)

    {

        IIdentity id = Context.User.Identity;

        if (id.IsAuthenticated)

        {

            var roles = new UserRepository().GetRoles(id.Name);

            Context.User = new GenericPrincipal(id, roles);

        }

    }

    //...

}

给 MvcApplication 增加构造函数,在其中增加 AuthorizeRequest 事件的处理函数。

方式二

此方式将用户的角色保存至用户 Cookie,使用到了 FormsAuthenticationTicket。

修改 AccountController:

public class AccountController : Controller

{

    private UserRepository repository = new UserRepository();

    public ActionResult LogOn()

    {

        return View();

    }

    [HttpPost]

    public ActionResult LogOn(LogOnModel model, string returnUrl)

    {

        if (ModelState.IsValid)

        {

            User user = repository.GetByNameAndPassword(model.UserName, model.Password);

            if (user != null)

            {

                FormsAuthenticationTicket ticket = new FormsAuthenticationTicket(

                    1,

                    user.Name,

                    DateTime.Now,

                    DateTime.Now.Add(FormsAuthentication.Timeout),

                    model.RememberMe,

                    user.Roles.Aggregate((i,j)=>i+","+j)

                    );

                HttpCookie cookie = new HttpCookie(

                    FormsAuthentication.FormsCookieName,

                    FormsAuthentication.Encrypt(ticket));

                Response.Cookies.Add(cookie);

                if (!String.IsNullOrEmpty(returnUrl)) return Redirect(returnUrl);

                else return RedirectToAction("Index", "Home");

            }

            else

                ModelState.AddModelError("", "用户名或密码不正确!");

        }

        return View(model);

    }

    public ActionResult LogOff()

    {

        FormsAuthentication.SignOut();

        return RedirectToAction("Index", "Home");

    }

}

修改 Global.asax:

public class MvcApplication : System.Web.HttpApplication

{

    public MvcApplication()

    {

        AuthorizeRequest += new EventHandler(MvcApplication_AuthorizeRequest);

    }

    void MvcApplication_AuthorizeRequest(object sender, EventArgs e)

    {

        var id = Context.User.Identity as FormsIdentity;

        if (id != null && id.IsAuthenticated)

        {

            var roles = id.Ticket.UserData.Split(',');

            Context.User = new GenericPrincipal(id, roles);

        }

    }

    //...

}

三、角色权限

使用任一种方式后,我们就可以在 Controller 中使用 AuthorizeAttribute 实现基于角色的权限管理了:

[Authorize(Roles = "employee,manager")]

public ActionResult Index1()

{

    return View();

}

[Authorize(Roles = "manager")]

public ActionResult Index2()

{

    return View();

}

[Authorize(Users="admin", Roles = "admin")]

public ActionResult Index3()

{

    return View();

}

四、简要说明

MVC 使用 HttpContext.User 属性进行来进行实现身份验证及角色管理,同样 AuthorizeAttribute 也根据 HttpContext.User 进行角色权限验证。

因些不要在用户登录后,将相关用户信息保存在 Session 中(网上经常看到这种做法),将用户保存在 Session 中是一种非常不好的做法。

也不要在 Action 中进行角色权限判断,应该使用 AuthorizeAttribute 或它的子类,以下的方式都是错误的:

public ActionResult Action1()

{

    if (Session["User"] == null) { /**/}

    /**/

}

public ActionResult Action2()

{

    if (User.Identity == null) { /**/}

    if (User.Identity.IsAuthenticated == false) { /**/}

    if (User.IsInRole("admin") == false) { /**/}

    /**/

}

ASP.NET MVC:窗体身份验证及角色权限管理示例的更多相关文章

  1. ASP.NET MVC Cookie 身份验证

    1 创建一个ASP.NET MVC 项目 添加一个 AccountController 类. public class AccountController : Controller { [HttpGe ...

  2. Asp.Net Mvc通用后台管理系统,bootstrap+easyui+权限管理+ORM

    产品清单: 1.整站源码,非编译版,方便进行业务的二次开发 2.通用模块与用户等基础数据的数据库脚本 3.bootstrap3.3.1 AceAdmin模板源码 4.easyui1.3.5源码 5.F ...

  3. asp.net mvc 自定义身份验证

    1.定义身份实体对象 /// <summary> /// 网站用户实体对象 /// </summary> public class DDTPrincipal : IPrinci ...

  4. asp.net mvc 自定义身份验证 2

    控制成员角色 [Authorize(Rroles="Administator,SuperAdmin")] public class StoreManagerController:C ...

  5. Asp.net中基于Forms验证的角色验证授权

    Asp.net的身份验证有有三种,分别是"Windows | Forms | Passport",其中又以Forms验证用的最多,也最灵活. Forms 验证方式对基于用户的验证授 ...

  6. 如何通过使用窗体身份验证和 Visual C#.NET 对 Active Directory 验证身份

    本分步指南演示如何在 ASP.NET 应用程序如何使用窗体身份验证允许用户使用轻型目录访问协议 (LDAP),对 Active Directory 进行验证.经过身份验证的用户重定向之后,可以使用Ap ...

  7. ASP.NET中的身份验证有那些?你当前项目采用什么方式验证请解释

    ASP.NET身份验证模式包括Windows.Forms(窗体).Passport(护照)和None(无). l  Windows身份验证—常结合应用程序自定义身份验证使用使用这种身份验证模式时,AS ...

  8. 采用Asp.Net的Forms身份验证时,非持久Cookie的过期时间会自动扩展

    问题描述 之前没有使用Forms身份验证时,如果在登陆过程中把HttpOnly的Cookie过期时间设为半个小时,总会收到很多用户的抱怨,说登陆一会就过期了. 所以总是会把Cookie过期时间设的长一 ...

  9. 也谈Asp.net 中的身份验证

    钱李峰 的这篇博文<Asp.net中的认证与授权>已对Asp.net 中的身份验证进行了不错实践.而我这篇博文,是从初学者的角度补充了一些基础的概念,以便能有个清晰的认识. 一.配置安全身 ...

随机推荐

  1. 基于CSS3和HTML5图片加工前后对比代码

    分享一款CSS3和HTML5图片加工前后对比代码.这是一款通过CSS3和HTML5将图像转换为自动响应的元素:图像缩放和裁剪以适应容器.效果图如下: 在线预览   源码下载 实现的代码. html代码 ...

  2. HTML注释引起的问题

    因为规范要求需要对页面进行说明,添加作者等信息,所以在cshtml的代码中添加了html注释,包括之前使用jsp也是这样做的: 在页面布局的时候,需要对高度进行动态计算,IE8以上没有问题,主要是在I ...

  3. DDD:建模原语 之 四象图(转载的神文)

    “模型.状态和行为特征.场景”和“四象图”,建模观的命名与立象. 建模原语:四象图 作者:achieveidea@gmail.com 命名:模型.结构特征.行为特征.场景(及其规约). 释义:模型,描 ...

  4. 云计算之路-阿里云上:消灭“黑色n秒”第二招——给w3wp进程指定CPU核

    虽然昨天的第一招失败了,但是从失败中我们学到了与多核CPU相关的Processor Affinity(处理器关联)的知识. 既然我们可以让.NET程序的不同线程运行于指定的CPU核,那是不是也可以让I ...

  5. 15套帮助你展示 App 设计的透视屏幕原型素材

    Dribbble 和 Behance 是最好两个展示你的设计作品的地方.现在流行使用透视屏幕来展示应用程序设计效果,尤其是在 Dribbble 上面,有众多高品质的免费资源和设计素材. 这篇文章汇集了 ...

  6. Linux的Cgroup

    为什么要有cgroup Linux系统中经常有个需求就是希望能限制某个或者某些进程的分配资源.也就是能完成一组容器的概念,在这个容器中,有分配好的特定比例的cpu时间,IO时间,可用内存大小等.于是就 ...

  7. 拓扑图弹力布局呈现Flickr图片搜索结果

    十年前有值得分享的图片我都存在Flickr上,可惜yahoo收购了Flickr之后堕落​好多年,最近yahoo在梅姐带领下Flickr团队终于恢复了生机,个人免费存储空间扩充到了1T,界面用户体验也有 ...

  8. 《构建之法》阅读有疑 与 个人Week1作业

    <构建之法>阅读有疑 在用将近五节课的时间将邹欣老师的书<构建之法——现代软件工程>第二版大致看完.虽然全书是以轻松的口吻与”移山公司”员工的一些趣味谈话来传输一些理念和思想的 ...

  9. ADO.NET---ExcuteScalar()方法复习

    ExcuteScalar(),返回的是查询结果的第一行第一列,返回值是object类型,一般用来查询表中有多少条数据,求最大值等 现在我们用ExcuteScalar()做个测试,需求:我要查询学生表里 ...

  10. 译:什么是ViewData的, ViewBag和TempData? - MVC为当前和后续请求之间传递数据的三种方法

    译文出处:http://www.codeproject.com/Articles/476967/WhatplusisplusViewData-cplusViewBagplusandplusTem AS ...