随笔- 28  文章- 31  评论- 16

MVC 自定义AuthorizeAttribute实现权限管理

 

在上一节中提到可以使用AuthorizeAttribute进行权限管理:

        [Authorize]

        public ActionResult TestAuthorize()

        {

            return View();

        }

        [Authorize(Users="test1,test2")]

        public ActionResult TestAuthorize()

        {

            return View();

        }

        [Authorize(Roles="Admin")]

        public ActionResult TestAuthorize()

        {

            return View();

        }

但是通常情况下,网站的权限并不是固定不变的,当新增角色或者角色改变时,只能修改每个Action对应的特性,当项目较大时工作量可想而知。幸运的是我们可以重写AuthorizeAttribute达到自定义的权限管理。新建一个CustomAuthorizeAttribute类,使这个类继承于AuthorizeAttribute。打开AuthorizeAttribute查看下方法说明,我们只需要重写AuthorizeCore和OnAuthorization就能达到我们的目的。

// Summary:

        //     When overridden, provides an entry point for custom authorization checks.

        //

        // Parameters:

        //   httpContext:

        //     The HTTP context, which encapsulates all HTTP-specific information about

        //     an individual HTTP request.

        //

        // Returns:

        //     true if the user is authorized; otherwise, false.

        //

        // Exceptions:

        //   System.ArgumentNullException:

        //     The httpContext parameter is null.

        protected virtual bool AuthorizeCore(HttpContextBase httpContext);

//

        // Summary:

        //     Called when a process requests authorization.

        //

        // Parameters:

        //   filterContext:

        //     The filter context, which encapsulates information for using System.Web.Mvc.AuthorizeAttribute.

        //

        // Exceptions:

        //   System.ArgumentNullException:

        //     The filterContext parameter is null.

        public virtual void OnAuthorization(AuthorizationContext filterContext);

在CustomAuthorizeAttribute中重载AuthorizeCore方法,它的处理逻辑如下:首先判断当前账户是否被认证,如果没有,则返回false;然后获取当前账户的类型,并跟给定的类型进行比较,如果类型相同,则返回true,否则返回false。一般网站中权限管理都会使用权限树,然后将角色的权限保存至数据库或者文件中,本例中我们使用XML文件保存每个Action的角色,这样在用户请求Action时,由XML文件获取Action对应的权限,然后检测账户是否有相应的权限。CustomAuthorizeAttribute类的代码如下:

public class CustomAuthorizeAttribute : System.Web.Mvc.AuthorizeAttribute

    {

        public new string[] Roles { get; set; }

        protected override bool AuthorizeCore(HttpContextBase httpContext)

        {

            if (httpContext == null) {

                throw new ArgumentNullException("HttpContext");

            }

            if (!httpContext.User.Identity.IsAuthenticated) {

                return false;

            }

            if (Roles == null) {

                return true;

            }

            if (Roles.Length == )

            {

                return true;

            }

            if (Roles.Any(httpContext.User.IsInRole))

            {

                return true;

            }

            return false;

        }

        public override void OnAuthorization(System.Web.Mvc.AuthorizationContext filterContext)

        {

            string controllerName = filterContext.ActionDescriptor.ControllerDescriptor.ControllerName;

            string actionName = filterContext.ActionDescriptor.ActionName;

            string roles = GetRoles.GetActionRoles(actionName, controllerName);

            if (!string.IsNullOrWhiteSpace(roles)) {

                this.Roles = roles.Split(new string[] { "," }, StringSplitOptions.RemoveEmptyEntries);

            }

            base.OnAuthorization(filterContext);

        }

    }

当用户请求一个Action时,会调用OnAuthorization方法,该方法中GetRoles.GetActionRoles(actionName, controllerName);根据Controller和Action去查找当前Action需要具有的角色类型,获得Action的Roles以后,在AuthorizeCore中与用户的角色进行比对Roles.Any(httpContext.User.IsInRole),如果没有相应权限则返回false,程序就会自动跳转到登录页面。

GetRoles为XML解析类,代码如下:







   public class GetRoles

    {

        public static string GetActionRoles(string action, string controller) {

            XElement rootElement = XElement.Load(HttpContext.Current.Server.MapPath("/")+"ActionRoles.xml");

            XElement controllerElement = findElementByAttribute(rootElement, "Controller", controller);

            if (controllerElement != null)

            {

                XElement actionElement = findElementByAttribute(controllerElement, "Action", action);

                if (actionElement != null)

                {

                    return actionElement.Value;

                }

            }

            return "";

        }

        public static XElement findElementByAttribute(XElement xElement,string tagName, string attribute)

        {

            return xElement.Elements(tagName).FirstOrDefault(x => x.Attribute("name").Value.Equals(attribute,StringComparison.OrdinalIgnoreCase));

        }

    }






相应的权限XMl文件:






<?xml version="1.0" encoding="utf-8" ?>

<Roles>

    <Controller name="Home">

        <Action name="Index"></Action>

        <Action name="About">Manager,Admin</Action>

        <Action name="Contact">Admin</Action>

    </Controller>

</Roles>






当需求发生变化时,只需要修改XML文件即可


使用时,只需要在Global.asax中注册该filter




filters.Add(new CustomAuthorizeAttribute());




当然这只是一个简单的例子,实际应用中会复杂许多,还可能要实现在即的MemberShipProvider和RoleProvider














												


											
C#_MVC 自定义AuthorizeAttribute实现权限管理的更多相关文章
	

    
								
  1. MVC自定义AuthorizeAttribute实现权限管理
		
    [转]MVC自定义AuthorizeAttribute实现权限管理 原文载自:小飞的DD http://www.cnblogs.com/feiDD/articles/2844447.html 网站的权 ...
    
		
    2. 
						
  2. MVC 自定义AuthorizeAttribute实现权限管理
		
    在上一节中提到可以使用AuthorizeAttribute进行权限管理: [Authorize] public ActionResult TestAuthorize() { return View() ...
    
		
    3. 
						
  3. SharePoint _layouts下自定义程序页面权限管理
		
    在sharepoint中,_layouts下的自定义页面没有特别的权限,只要用户能访问sharepoint站点就可以访问_layouts下的自定义程序页面,现在我们需要给自定义页面做一下权限认证.要求 ...
    
		
    4. 
						
  4. MVC 自定义AuthorizeAttribute 实现权限验证
		
    MVC内置的AuthorizeFilter先于Action/Result过滤器执行,为网站权限验证提供了很好的一套验证机制. 通过自定义的AuthorizeAttribute可以实现对用户权限的验证. ...
    
		
    5. 
						
  5. 玩一玩基于Token的 自定义身份认证+权限管理
		
    使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录.大概的流程是这样的: 客户端使用用户名跟密码请求登录 服务端收到请求,去验证用户名与密码 验证成功后,服务端会签发一个 Toke ...
    
		
    6. 
						
  6. 自定义Spring Security权限控制管理(实战篇)
		
    上篇<话说Spring Security权限管理(源码)>介绍了Spring Security权限控制管理的源码及实现,然而某些情况下,它默认的实现并不能满足我们项目的实际需求,有时候需要 ...
    
		
    7. 
						
  7. 权限管理(java+struts2(自定义标签)实现)--------->全代码演示
		
    地址:http://blog.chinaunix.net/uid-24343152-id-3673026.html 最近由于项目不是很紧所以总结了之前做了n遍的权限管理功能.以便之后系统copy之用. ...
    
		
    8. 
						
  8. 潭州课堂25班:Ph201805201 django框架 第十三课 自定义404页面,auth系统中的User模型,auth系统权限管理 (课堂笔记)
		
    当 DEBUG=True 时,django 内部的404报错信息, 自带的报错信息, 要自定义404信息,要先把 DEBUG=False , 之后要自定义4040页面,有两种方法, 方法1,在创建40 ...
    
		
    9. 
						
  9. DRF内置权限组件之自定义权限管理类
		
    DRF内置权限组件permissions 权限控制可以限制用户对于视图的访问和对于具体数据对象的访问. 在执行视图的dispatch()方法前,会先进行视图访问权限的判断 在通过get_object( ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. 对 Azure 虚拟网络网关的改进
			
    YU-SHUN WANG Azure 网络高级项目经理 在 2014 年欧洲 TechEd 大会上,我们宣布了对Azure 虚拟网络网关的多项改进: 1.  高性能网关 SKU 2.  Azure 虚 ...
    
			
    2. 
						
  2. 用TIMESTAMP类型取代INT和DATETIME
			
    时间在我们开发中应用非常普遍,大部分开发中我们将用Mysql的datetime格式来存储,但是对于经常用时间来排序或者查询的应用中,我们要将时间做成索引,这个就跟查询效率很有关系,但是很多程序员会用i ...
    
			
    3. 
						
  3. bzoj 3124 [Sdoi2013]直径(dfs)
			
    Description 小Q最近学习了一些图论知识.根据课本,有如下定义.树:无回路且连通的无向图,每条边都有正整数的权值来表示其长度.如果一棵树有N个节点,可以证明其有且仅有N-1 条边. 路径:一 ...
    
			
    4. 
						
  4. NOIP2011 Mayan游戏
			
    3 Mayan游戏 题目描述 Mayan puzzle是最近流行起来的一个游戏.游戏界面是一个 7 行5 列的棋盘,上面堆放着一些方块,方块不能悬空堆放,即方块必须放在最下面一行,或者放在其他方块之上 ...
    
			
    5. 
						
  5. wxWidgets Tutorial
			
    wxWidgets Tutorial网站整理 两个重要的教程网站:1:点这里:2:点这里. 还有一个wxWidgets项目参考的网站:点这里. 已经翻译好的中文教程:点这里. 参考书籍:<wxW ...
    
			
    6. 
						
  6. [转载] Zookeeper中的 ACL(Access Control List)访问控制列表
			
    zk做为分布式架构中的重要中间件,通常会在上面以节点的方式存储一些关键信息,默认情况下,所有应用都可以读写任何节点,在复杂的应用中,这不太安全,ZK通过ACL机制来解决访问权限问题,详见官网文档:ht ...
    
			
    7. 
						
  7. HDU-4647 Another Graph Game 贪心,博弈
			
    题目链接:http://acm.hdu.edu.cn/showproblem.php?pid=4647 注意这题两人的决策是想要使得自己的分数与对方的差值最大.. 注意到数据范围,显然是贪心之类的,如 ...
    
			
    8. 
						
  8. 转载总结 C# 多态(虚方法,抽象,接口实现)
			
    前言:我们都知道面向对象的三大特性:封装,继承,多态.封装和继承对于初学者而言比较好理解,但要理解多态,尤其是深入理解,初学者往往存在有很多困惑,为什么这样就可以?有时候感觉很不可思议,由此,面向对象 ...
    
			
    9. 
						
  9. SpringMVC(三)
			
    今天是学习Spring的第四天,今天终于又把Spring+SpringMVC+Mybatis(SSM)高了一遍,这次运行的代码和配置和昨天的不一样,今天运行的很成功. 主要学习的一点就是我今天使用的是 ...
    
			
    10. 
						
  10. Ios学习
			
    http://www.cnblogs.com/superhappy/archive/2013/04/23/3038493.html http://www.360doc.com/content/14/0 ...
    
			
    11.