[转载]asp.net MVC 权限设计(续）-Mikel

[转载]asp.net MVC 权限设计(续） – jqpeng的技术记事本 – 博客园.

asp.net MVC 权限设计一文中没有demo放出来,应大家的要求，这里补充上文并放出demo。

几点说明：

1、基于将角色与controller、action相关联来判断用户是否有权

2、通过自定义AuthorizeAttribute实现

3、demo 仅供参考，一些规则可以根据实际情况重新定义

简明需求

1、可以对每个action实现权限控制，并且可以在数据库动态配置

2、权限分为允许所有人访问、允许注册用户访问、允许\禁止特定角色人访问

数据库设计

在demo里不使用数据库，这里给出表对应的类

001
/// <summary>

002
 /// 控制器和Action

003
 /// </summary>

004
 public class ControllerAction

005
 {

006
 public int Id

007
 {

008
 get;

009
 set;

010
 }

011

012
 public string Name

013
 {

014
 get;

015
 set;

016
 }

017

018
 /// <summary>

019
 /// IsController是指是否是controller，如果为false，

020
 /// 表示是action，那么controllerName字段就派上用场了

021
 /// </summary>

022
 public bool IsController

023
 {

024
 get;

025
 set;

026
 }

027

028
 /// <summary>

029
 /// 控制器名称

030
 /// 如果IsController为false，该项不能为空

031
 /// </summary>

032
 public string ControllName

033
 {

034
 get;

035
 set;

036
 }

037

038
 /// <summary>

039
 /// 是指是否允许没有权限的人访问 

040
 /// </summary>

041
 public bool IsAllowedNoneRoles

042
 {

043
 get;

044
 set;

045
 }

046

047
 /// <summary>

048
 /// 是否允许有角色的人访问 

049
 /// </summary>

050
 public bool IsAllowedAllRoles

051
 {

052
 get;

053
 set;

054
 }

055
 }

056

057
 /// <summary>

058
 /// 用户与角色的关联表

059
 /// </summary>

060
 public class ControllerActionRole

061
 {

062
 public int Id

063
 {

064
 get;

065
 set;

066
 }

067

068
 /// <summary>

069
 /// 对应的ControllerAction编号

070
 /// </summary>

071
 public int ControllerActioId

072
 {

073
 get;

074
 set;

075
 }

076

077
 /// <summary>

078
 /// 对应的角色编号

079
 /// </summary>

080
 public int RoleId

081
 {

082
 get;

083
 set;

084
 }

085

086
 /// <summary>

087
 /// IsAllowed表示包含RoleId的用户是否有权限访问ControllerActioId

088
 /// </summary>

089
 public bool IsAllowed

090
 {

091
 get;

092
 set;

093
 }

094
 }

095

096
 /// <summary>

097
 /// 角色

098
 /// </summary>

099
 public class Role

100
 {

101
 public int Id

102
 {

103
 get;

104
 set;

105
 }

106

107
 public string Name

108
 {

109
 get;

110
 set;

111
 }

112

113
 public string Description

114
 {

115
 get;

116
 set;

117
 }

118
 }

119

120
 /// <summary>

121
 /// 用户

122
 /// </summary>

123
 public class User

124
 {

125
 public int Id

126
 {

127
 get;

128
 set;

129
 }

130

131
 public string Name

132
 {

133
 get;

134
 set;

135
 }

136
 }

137

138
 /// <summary>

139
 /// 用户与角色的关联表

140
 /// </summary>

141
 public class UserRole

142
 {

143
 public int Id

144
 {

145
 get;

146
 set;

147
 }

148
 public int UserId

149
 {

150
 get;

151
 set;

152
 }

153
 public int RoleId

154
 {

155
 get;

156
 set;

157
 }

158
 }

核心流程

我们见一个Database类来模拟数据库

01
/// <summary>

02
 /// <summary>

03
 /// 模拟数据库

04
 /// </summary>

05
 public class Database

06
 {

07
 public static List<user> Users;

08
 public static List<role> Roles;

09
 public static List<userrole> UserRoles;

10
 public static List<controlleraction> ControllerActions;

11
 public static List<controlleractionrole> ControllerActionRoles;

12

13
 static Database()

14
 {

15
 // 初始化用户

16
 Users = new List<user>()

17
 {

18
 new User(){Id=1,Name="Admin"},

19
 new User(){Id=2,Name ="User"},

20
 new User(){Id=3,Name="Guest"}

21
 };

22

23
 Roles = new List<role>()

24
 {

25
 new Role() {Id=1,Name="Administrator"},

26
 new Role() {Id=2,Name="User"}

27
 };

28

29
 UserRoles = new List<userrole>()

30
 {

31
 new UserRole(){Id=1,RoleId=1,UserId=1}, //管理员

32
 new UserRole(){Id=2,RoleId=2,UserId=2} //用户

33
 };

34

35
 ControllerActions = new List<controlleraction>()

36
 {

37
 new ControllerAction(){Id=1,Name="Index",IsController=true,IsAllowedNoneRoles=true,IsAllowedAllRoles=true}, // /Home 允许所有人访问

38

39
 new ControllerAction(){Id=2,ControllName="Home",Name="Admin",IsController=false,IsAllowedNoneRoles=false,IsAllowedAllRoles = false}, // /Home/Admin 管理员才能访问

40

41
 new ControllerAction(){Id=3,ControllName="Home",Name="User",IsController=false,IsAllowedNoneRoles=false,IsAllowedAllRoles = true}, // /Home/User 有角色的人才能访问

42
 
43
 new ControllerAction(){Id=4,ControllName="Home",Name="UserOnly",IsController=false,IsAllowedNoneRoles=false,IsAllowedAllRoles = false}, // /Home/UserOnly 用户才能访问

44

45
 };

46

47
 ControllerActionRoles = new List<controlleractionrole>() { 

48
 new ControllerActionRole(){ Id=1,ControllerActioId = 2,RoleId = 1,IsAllowed = true }, // 管理员才能访问

49
 new ControllerActionRole(){ Id=2,ControllerActioId = 4,RoleId = 2,IsAllowed = true } // USER才能访问

50
 };

51

52
 }

53
 }

54
 </controlleractionrole></controlleraction></userrole></role></user></controlleractionrole></controlleraction></userrole></role></user></summary>

来看我们的主要代码

 /// <summary>

/// 自定义AuthorizeAttribute

/// </summary>

public class UserAuthorizeAttribute : AuthorizeAttribute

{

 public override void OnAuthorization(AuthorizationContext filterContext)

 {

 var user = filterContext.HttpContext.Session["CurrentUser"] as User;

 // 用户为空，赋予Guest

 if (user == null)

 {

 user = Database.Users.Find(u => u.Name == "Guest");

 }

 var controller = filterContext.RouteData.Values["controller"].ToString();

 var action = filterContext.RouteData.Values["action"].ToString();

 var isAllowed = this.IsAllowed(user, controller, action);

 if (!isAllowed)

 {

 filterContext.RequestContext.HttpContext.Response.Write("无权访问");

 filterContext.RequestContext.HttpContext.Response.End();

 }

 }

 /// <summary>

 /// 判断是否允许访问

 /// </summary>

 /// <span name="user"> </span>用户

 /// <span name="controller"> </span>控制器

 /// <span name="action"> </span>action

 /// <returns>是否允许访问</returns>

 public bool IsAllowed(User user, string controller, string action)

 {

 // 找controllerAction

 var controllerAction = Database.ControllerActions.Find(ca => ca.IsController == false && ca.Name == action && ca.ControllName == controller);

 //action无记录，找controller

 if (controllerAction == null)

 {

 controllerAction = Database.ControllerActions.Find(ca => ca.IsController && ca.Name == controller);

 }

 // 无规则

 if (controllerAction == null)

 {

 return true;

 }

 // 允许没有角色的：也就是说允许所有人，包括没有登录的用户 

 if (controllerAction.IsAllowedNoneRoles)

 {

 return true;

 }

 // 允许所有角色：只要有角色，就可以访问 

 if (controllerAction.IsAllowedAllRoles)

 {

 var roles = Database.UserRoles.FindAll(ur => ur.UserId == user.Id);

 if (roles.Count > 0)

 {

 return true;

 }

 else

 {

 return false;

 }

 }

 // 选出action对应的角色 

 var actionRoles = Database.ControllerActionRoles.FindAll(ca => ca.ControllerActioId == controllerAction.Id).ToList();

 if (actionRoles.Count == 0)

 {

 // 角色数量为0，也就是说没有定义访问规则，默认允许访问 

 return true;

 }

 var userHavedRolesids = Database.UserRoles.FindAll(ur => ur.UserId == user.Id).Select(ca => ca.RoleId).ToList();

 // 查找禁止的角色 

 var notAllowedRoles = actionRoles.FindAll(r => !r.IsAllowed).Select(ca => ca.RoleId).ToList();

 if (notAllowedRoles.Count > 0)

 {

 foreach (int roleId in notAllowedRoles)

 {

 // 用户的角色在禁止访问列表中，不允许访问 

 if (userHavedRolesids.Contains(roleId))

 {

 return false;

 }

 }

 }

 // 查找允许访问的角色列表 

 var allowRoles = actionRoles.FindAll(r => r.IsAllowed).Select(ca => ca.RoleId).ToList();

 if (allowRoles.Count > 0)

 {

 foreach (int roleId in allowRoles)

 {

 // 用户的角色在访问的角色列表 

 if (userHavedRolesids.Contains(roleId))

 {

 return true;

 }

 }

 }

 // 默认禁止访问

 return false;

 }

}

测试

[HandleError]

[UserAuthorize]

public class HomeController : Controller

{

 public ActionResult Index()

 {

 ViewData["Message"] = "欢迎使用 ASP.NET MVC!";

 return View();

 }

 public ActionResult Admin()

 {

 ViewData["Message"] = "只有管理员才能访问!";

 return View("Index");

 }

 public ActionResult User()

 {

 ViewData["Message"] = "只要是注册用户就能访问!";

 return View("Index");

 }

 public ActionResult UserOnly()

 {

 ViewData["Message"] = "只能是User才能能访问!";

 return View("Index");

 }

 public ActionResult Login(string user)

 {

 Session["CurrentUser"] = Database.Users.Find(u => u.Name == user);

 if (Session["CurrentUser"] != null)

 {

 ViewData["Message"] = "你已登录为" + user;

 }

 return View("Index");

 }

 public ActionResult About()

 {

 return View();

 }

}