前面的文章介绍了如何进行权限控制,即访问控制器或者方法的时候,要求当前用户必须具备特定的权限,但是如何在程序中进行权限的分配呢?下面就介绍下如何利用Microsoft.AspNetCore.Identity.EntityFrameworkCore框架进行权限分配。

在介绍分配方法之前,我们必须理解权限关系,这里面涉及到三个对象:用户,角色,权限,权限分配到角色,角色再分配到用户,当某个用户属于某个角色后,这个用户就具有了角色所包含的权限列表,比如现在有一个信息管理员角色,这个角色包含了信息删除权限,当张三这个用户具有信息管理员角色后,张三就具备了信息删除的权限。在某些特殊场景下,权限也可以直接分配到用户,也就是说可以直接把某些特定的权限,绕过角色,直接分配给用户。Microsoft.AspNetCore.Identity.EntityFrameworkCore框架中都提供了这样的支持。

先把框架中主要的业务对象类介绍一下:

IdentityUser:表示一个用户信息

IdentityRole:表示一个角色信息

IdentityRoleClaim<TKey>:表示角色具有的权限

IdentityUserClaim<TKey>:表示用户具有的权限

IdentityUserRole<TKey>:表示用户角色关系

基本概念理解后,下面我们就来看一下如何进行权限分配。

1,分配权限到角色:Microsoft.AspNetCore.Identity.EntityFrameworkCore中提供了RoleManager类,类中提供了把权限分配到角色的方法:

  Task<IdentityResult> AddClaimAsync(TRole role, Claim claim)

  第一个参数表示对应的角色对象,第二个参数表示一个权限信息

2,分配权限到用户:Microsoft.AspNetCore.Identity.EntityFrameworkCore中提供了UserManager类,类中提供了把权限分配到用户的方法:

  Task<IdentityResult> AddClaimAsync(TUser user, Claim claim)

  第一个参数表示对应的用户对象,第二个参数表示一个权限信息

3,分配用户到角色:用到的同样是UserManager类,使用的方法:

  AddToRoleAsync(TUser user, string role)

  第一个参数表示的是用户对象,第二个是角色的名称

4,获取角色当前具有的权限列表:

 Task<IList<Claim>> RoleManager.GetClaimsAsync(TRole role)

5,获取用户当前具有的权限列表:

 Task<IList<Claim>> UserManager.GetClaimsAsync(TUser user)

通过这样的方式就可以完成权限分配全过程,再结合前面的权限控制方法,系统就实现了完成的权限控制逻辑。

那现在的问题来了,权限列表从什么地方来?一般来说,一个业务系统功能确定后,对应的权限列表也自然就确定了,再实现分配权限到角色,分配权限到用户的功能时,只需要在页面上把所有的权限列出来进行选择即可,效果图如下:

把选择的数据调用对应的方法保存即可。

这个问题解决了,但是新的问题又来了。如果说一个业务功能点特别多,自然会导致权限也会很多,如果完全通过手工的方式写到页面上,那自然工作量会很大很大,再者业务系统可能会不断地变化,这个时候也会去不断地修改权限分配页面,这自然不是一个好的方法,下面我给大家说一个我想的一个方法,不一定是最好的,但是能省很大的事。

首秀我们需要解决的问题是,如何快速生成这个权限配置列表。

思路就是改造AuthorizeAttribute,在这个特性基础上增加权限描述信息,用权限描述信息作为Policy。下面直接上代码:

[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, AllowMultiple = true, Inherited =true)]
  //类名称可以改,因为我把系统操作当作资源来管理

    public class ResourceAttribute:AuthorizeAttribute

    {

        private string _resouceName;

        private string _action;

        public ResourceAttribute(string name)

        {

            if (string.IsNullOrEmpty(name))

            {

                throw new ArgumentNullException(nameof(name));

            }

            _resouceName = name;

       //把资源名称设置成Policy名称

            Policy = _resouceName;

        }

        public string GetResource()

        {

            return _resouceName;

        }

        public string Action

        {

            get

            {

                return _action;

            }

            set

            {

                _action = value;

                if (!string.IsNullOrEmpty(value))

                {
            //把资源名称跟操作名称组装成Policy

                    Policy = _resouceName + "-" + value;

                }

            }

        }

    }

  

类已经定义好了,那我们就看看如何使用,因为是特性定义,所以可以在控制器类或者方法上按照下面结构使用:

[Resource("组织架构", Action = "添加部门")]

到这里基础工作已经做完,下面还有两个问题需要解决:

1,Policy现在只是配置了名称,但是具体验证规则没有定义

2,如何获取所有的权限列表

先来看第一个问题,前面的文章介绍了,Policy需要提前在startup里通过AddAuthorization进行配置,但是现在我们并没有做这样的步骤,所以目前权限还不会起作用。框架在权限验证的时候,会依赖一个IAuthorizationPolicyProvider来根据Policy名称获取具体的规则,自然我们会想到自定义一个IAuthorizationPolicyProvider实现,代码如下:

public class ResourceAuthorizationPolicyProvider : IAuthorizationPolicyProvider

    {

        private  AuthorizationOptions _options;

        public ResourceAuthorizationPolicyProvider(IOptions<AuthorizationOptions> options)

        {

            if (options == null)

            {

                throw new ArgumentNullException(nameof(options));

            }

            _options = options.Value;

        }

        public Task<AuthorizationPolicy> GetDefaultPolicyAsync()

        {

            return Task.FromResult(_options.DefaultPolicy);

        }

  

        public Task<AuthorizationPolicy> GetPolicyAsync(string policyName)

        {

            AuthorizationPolicy policy = _options.GetPolicy(policyName);
       //因为我们policy的名称其实就是对应的权限名称,所以可以用下列逻辑返回需要的验证规则

            if (policy == null)

            {

                string[] resourceValues = policyName.Split(new char[] { '-' }, StringSplitOptions.None);

                if (resourceValues.Length == 1)

                {

                    _options.AddPolicy(policyName, builder =>

                    {

                        builder.AddRequirements(new ClaimsAuthorizationRequirement(resourceValues[0], null));

                    });

                }

                else

                {

                    _options.AddPolicy(policyName, builder =>

                    {

                        builder.AddRequirements(new ClaimsAuthorizationRequirement(resourceValues[0], new string[] { resourceValues[1] }));

                    });

                }

            }

            return Task.FromResult(_options.GetPolicy(policyName));

        }

    }

实现了IAuthorizationPolicyProvider,我们就需要在startup.cs的ConfigureServices(IServiceCollection services)方法中进行注册,操作如下:

services.TryAdd(ServiceDescriptor.Transient<IAuthorizationPolicyProvider, ResourceAuthorizationPolicyProvider>());

再来看第二个问题,我们已经在控制器或者方法上定义了权限信息,关键是我们如何从这些特性里获取到权限列表,将来用于权限分配的时候使用。在asp.net core mvc中提供了一个类解析机制,IApplicationModelProvider,这个依赖信息比较多,这里就不过多介绍,后续我会单独开一个系列,介绍asp.net core mvc的内部机制。

直接上代码

public class ResourceApplicationModelProvider : IApplicationModelProvider

    {

        private readonly IAuthorizationPolicyProvider _policyProvider;

        public ResourceApplicationModelProvider(IAuthorizationPolicyProvider policyProvider)

        {

            _policyProvider = policyProvider;

        }

        public void OnProvidersExecuted(ApplicationModelProviderContext context)

        {

        }

        public void OnProvidersExecuting(ApplicationModelProviderContext context)

        {

            if (context == null)

            {

                throw new ArgumentNullException(nameof(context));

            }

            List<ResourceAttribute> attributeData = new List<ResourceAttribute>();
        //循环获取所有的控制器

            foreach (var controllerModel in context.Result.Controllers)

            {
        //得到ResourceAttribute

                var resourceData = controllerModel.Attributes.OfType<ResourceAttribute>().ToArray();

                if (resourceData.Length > 0)

                {

                    attributeData.AddRange(resourceData);

                }

          //循环控制器方法

                foreach (var actionModel in controllerModel.Actions)

                {
                   //得到方法的ResourceAttribute

                    var actionResourceData = actionModel.Attributes.OfType<ResourceAttribute>().ToArray();

                    if (actionResourceData.Length > 0)

                    {

                        attributeData.AddRange(actionResourceData);

                    }

                }

            }

       //把所有的resourceattribute的信息写到一个全局的resourcedata中,resourcedata就可以在其他地方进行使用,resourcedata定义后面补充 

            foreach (var item in attributeData)

            {

                ResourceData.AddResource(item.GetResource(), item.Action);

            }

        }

        public int Order { get { return -1000 + 11; } }

    }

resourcedata定义如下

public class ResourceData

    {

        static ResourceData()

        {

            Resources = new Dictionary<string, List<string>>();

        }

        public static void AddResource(string name)

        {

            AddResource(name, "");

        }

        public static void AddResource(string name,string action)

        {

            if (string.IsNullOrEmpty(name))

            {

                return;

            }

            if (!Resources.ContainsKey(name))

            {

                Resources.Add(name, new List<string>());

            }

            if (!string.IsNullOrEmpty(action) && !Resources[name].Contains(action))

            {

                Resources[name].Add(action);

            }

        }

        public static Dictionary<string, List<string>> Resources { get; set; }

    }

 然后在startup中注册我们刚刚定义的IApplicationModelProvider:

services.TryAddEnumerable(ServiceDescriptor.Transient<IApplicationModelProvider, ResourceApplicationModelProvider>());

 然后在权限分配页面通过ResourceData.Resources就获取到了所有的权限信息,然后通过循环的方式直接显示到页面上即可。 

终于写完了,哈哈~~

 

  附上实例代码:http://files.cnblogs.com/files/dxp909/AuthorizeSample.rar

  

  

asp.net core mvc权限控制:分配权限的更多相关文章

  1. asp.net core 使用 AccessControlHelper 控制访问权限

    asp.net core 使用 AccessControlHelper 控制访问权限 Intro 由于项目需要,需要在基于 asp.net mvc 的 Web 项目框架中做权限的控制,于是才有了这个权 ...

  2. asp.net core mvc权限控制:在视图中控制操作权限

    在asp.net core mvc中提供了权限验证框架,前面的文章中已经介绍了如何进行权限控制配置,权限配置好后,权限验证逻辑自动就会执行,但是在某些情况下,我们可能需要在代码里或者视图中通过手工方式 ...

  3. asp.net core mvc权限控制:权限控制介绍

    在进行业务软件开发的时候,都会涉及到权限控制的问题,asp.net core mvc提供了相关特性. 在具体介绍使用方法前,我们需要先了解几个概念: 1,claim:英文翻译过来是声明的意思,一个cl ...

  4. Asp.Net Core MVC框架内置过滤器

    第一部分.MVC框架内置过滤器 下图展示了Asp.Net Core MVC框架默认实现的过滤器的执行顺序: Authorization Filters:身份验证过滤器,处在整个过滤器通道的最顶层.对应 ...

  5. 零基础ASP.NET Core MVC插件式开发

    零基础ASP.NET Core MVC插件式开发 一个项目随着业务模块的不断增加,系统会越来越庞大.如果参与开发的人员越多,管理起来也难度也很大.面对这样的情况,首先想到的是模块化插件式开发,根据业务 ...

  6. 在Asp.Net Core MVC 开发过程中遇到的问题

    1. Q: Razor视图中怎么添加全局模型验证消息 #### A:使用ModelOnly <div asp-validation-summary="ModelOnly" c ...

  7. ASP.NET CORE MVC用时分析工具MiniProfiler

    ASP.NET CORE MVC用时分析工具MiniProfiler MiniProfiler(https://miniprofiler.com/)是一个轻量级且简单易用的分析工具库,它可以用来分析A ...

  8. ASP.NET Core MVC之Serilog日志处理,你了解多少?

    前言 本节我们来看看ASP.NET Core MVC中比较常用的功能,对于导入和导出目前仍在探索中,项目需要自定义列合并,所以事先探索了如何在ASP.NET Core MVC进行导入.导出,更高级的内 ...

  9. ASP.NET Core MVC之ViewComponents(视图组件)

    前言 大概一个来星期未更新博客了,久违了各位,关于SQL Server性能优化会和ASP.NET Core MVC穿插来讲,如果你希望我分享哪些内容可以在评论下方提出来,我会筛选并看看技术文档来对你的 ...

随机推荐

  1. ZOJ 3537 Cake

    区间DP. 首先求凸包判断是否为凸多边形. 如果是凸多边形:假设现在要切割连续的一段点,最外面两个一定是要切一刀的,内部怎么切达到最优解就是求子区间最优解,因此可以区间DP. #include< ...

  2. mysql数据库中间件研究

    随着互联网的发展,数据量的不断增大. 单台实例已经远远无法满足业务的需要. 对数据库分库分表的需求不断的增加随之而来的就是数据库中间件的开发. 一. 单台实例主要面临下面几个问题: 1.  数据量太大 ...

  3. ucos2.86的任务调度漏洞

    Ucos2.86版本有一个任务调度的漏洞,该漏洞在2.88之后的版本已经修改过来了,今天我们来看看这个漏洞, 漏洞在官方2.88的文档中如下 这两个函数都是调度器函数,也就是说调度器有漏洞,但是看官方 ...

  4. iOS正则表达式 分类: ios技术 2015-07-14 14:00 35人阅读 评论(0) 收藏

    一.什么是正则表达式 正则表达式,又称正规表示法,是对字符串操作的一种逻辑公式.正则表达式可以检测给定的字符串是否符合我们定义的逻辑,也可以从字符串中获取我们想要的特定部分.它可以迅速地用极简单的方式 ...

  5. js实现的文章输入检查与测速。

    在群里聊天,一个群友求助.说要实现 文章对比输入,出错了标红,正确的标绿. 同时还需要统计正确率. 我一开始以为很容易,结果搞了半天.最后折腾出来了. 这里的思路如下:利用js的数组.将文章和输入的内 ...

  6. vuejs 父组件向子组件传递($broadcast()的用法)

    <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8&quo ...

  7. java监听事件

    2014年2月23日 09:51:54 成功添加了打开官网的事件, 回头研究下,那个打开url的类 java的System.getProperty()方法可以获取的值 ################ ...

  8. Nodejs之模板ejs

    ejs使用说明及介绍. 1.创建ejs项目 express -e test  //创建模板为ejs的项目,默认为jade. 2.使用 app.js中添加 var ejs = require('ejs' ...

  9. EALayout 实践

    步骤: 1. 导入framework 1.0. 下载网址 1.1. 修改Build Setting -> other linker flags,添加 “-ObjC”(连接实现文件)和" ...

  10. UVa 10057 - A mid-summer night's dream

    题目大意:给n个数,找一个数A使得A与这n个数的差的绝对值最小.输出A最小的可能值,n个数中满足A的性质的数的个数以及满足A性质的不同的数的个数(不必从这n个数中挑选). 看见绝对值就想到了数轴上点之 ...