MVC5+EF6 --自定義控制Action訪問權限

時間 2019-11-19

標籤 mvc5+ef6 mvc 自定義控制 action 訪問權限简体版

原文原文鏈接

本章主要講解在MVC中靈活控制Action的訪問權限；html

本章所使用的示例表也是上一張所使用的TbUser、TbRole、TbUserRole；web

最終的效果是針對任意一個Action或Controller，均可以根據配置的角色來控制訪問權限；sql

完成此核心功能後，能夠再往兩方面擴展經常使用功能：數據庫

1. 能夠根據組織/用戶/角色的並集來控制權限框架

2. 以此核心功能爲基礎，實現菜單的動態配置ide

PS:擴展功能本章暫時不講測試

文章提綱

概述
理論基礎
詳細步驟
總結

概述

1、MVC Form認證身份基礎this

一般用法舉例：url

1. web.config配置，開啓form認證spa

2. 須要認證的 Control或Action 上添加過濾，例如限制只有用戶"zhangsan"或者角色"管理員"能夠訪問

另外還有一種經常使用形式表示：只要有用戶登陸就能夠訪問

就是直接在Action或整個Controller上[Authorize]屬性過濾

2、爲何須要自定義MVC權限過濾器

上述解決方式中很明顯會發現有兩個缺點：

1. 修改權限時需在Action, Controller上修改後需從新編譯，不靈活。

2.過濾器中的Role是內置對象，若是不使用ASP.NET自身的集成權限方案，就沒法按照角色來過濾。

解決這兩個問題，只須要擴展類AuthorizeAttribute便可。

理論基礎

爲了能使用自定義的角色控制權限，咱們須要擴展或繞過 ASP.NET 的Membership和Role provider 框架。

1.擴展：實現自定義的 Membership/Role provider

2.繞過：直接不使用

咱們選擇繞過的方式，這樣的話更加靈活。

（由於若是你的角色結構和系統不一致，用擴展的方式弄起來比較麻煩）

咱們使用form認證的三個核心API，只用這幾個API既能夠減小工做量，又能夠和Membership/Role provider保持獨立。

1. FormsAuthentication.SetAuthCookie

用戶登陸後，指定用戶名

2. Request.IsAuthenticated

登陸後返回true

3. HttpContext.Current.User.Identity.Name

返回登陸的用戶名

權限過濾的完整過程：

1. Authetication ( 登陸 )

登陸成功後，調用 FormsAuthentication.SetAuthCookie 設置一個用戶名。

2. Authorization（受權）

新建自定義的受權屬性類：CustomAuthorizeAttribute（繼承於AuthorizeAtrribute），擴展權限過濾器

3. 相似於默認Authorize attribute的使用方法，附加自定義的authorize attribute到controller或action上去，實現權限過濾

詳細步驟

1、啓用form認證，完成登陸/退出基本功能

1. 啓用 form 認證

配置web.config，啓用form認證

2. 完成登陸/退出基本功能

新建Controller: AccountController.cs

    public class AccountController : Controller
    {
        private MyDbContext db = new MyDbContext();
        // GET: Account
        public ActionResult Index()
        {
            return View();
        }

        public ActionResult Login()
        {
            ViewBag.LoginState = "登陸前...";
            TempData["returnUrl"] = Request["ReturnUrl"];
            //若是當前有登陸用戶，就須要跳轉到權限不足提示頁面
            if (!string.IsNullOrEmpty(User.Identity.Name))
            {
                return View("NoPermissions");
            }
            else
            {
                return View();
            }
        }
        [HttpPost]
        public ActionResult Login(TbUser user)
        {
            string url = Convert.ToString(TempData["returnUrl"]);
            var userinfo = db.TbUsers.FirstOrDefault(u => u.Email == user.Email && u.Password == user.Password);
            if (userinfo != null)
            {
                FormsAuthentication.SetAuthCookie(userinfo.UserName, false);
                if (!string.IsNullOrEmpty(url))
                {
                    ViewBag.LoginState = userinfo.UserName + "登陸後...";
                    return Redirect(url);
                }
                else
                {
                    return Redirect("~/");
                }

            }
            else
            {
                ViewBag.LoginState = user.Email + "用戶不存在...";
            }
            return View();
        }

        public ActionResult Logout()
        {
            FormsAuthentication.SignOut();
            return Redirect(Request.UrlReferrer.ToString());
        }
        /// <summary>
        /// 權限不足頁面
        /// </summary>
        /// <returns></returns>
        public ActionResult NoPermissions()
        {
            return View();
        }

    }

View Code

登陸功能：

登出功能：

這裏對應的視圖文件就不展現了

2、準備好權限配置文件

1. 用到的基礎數據：用戶，角色及用戶/角色關係

2. 角色與Action對應的權限關係

這裏咱們先用一個xml代替，理解這個後就能夠擴展到DB中。

新建文件夾Config，新建ActionRoles文件，配置Action/Role的對應關係

PS：

Action未配置狀況下，默認有訪問權限；

Action 配置角色爲空，有訪問權限。

3、擴展 AuthorizeAttribute

1. 新建類CustomAuthorizeAttribute，繼承與AuthorizeAttribute

override兩個方法：

在請求受權時調用：

提供一個入口點用於自定義受權檢查，經過爲true

CustomAuthorizeAttribute.cs（兩個方法的具體實現）：

    public class CustomAuthorizeAttribute : AuthorizeAttribute
    {
        private MyDbContext db = new MyDbContext();

        /// <summary>
        /// 對應Action容許的角色
        /// </summary>
        private string[] AuthRoles { get; set; }
        /// <summary>
        /// 在請求受權時調用
        /// </summary>
        /// <param name="httpContext"></param>
        /// <returns></returns>
        protected override bool AuthorizeCore(HttpContextBase httpContext)
        {
            if (httpContext == null)
            {
                throw new ArgumentNullException("HttpContext");
            }
            if (AuthRoles == null || AuthRoles.Length == 0)
            {
                return false;
            }
            #region 肯定當前用戶角色是否屬於指定的角色
            //獲取當前用戶所在角色
            string sql = "select RoleName from TbRole where Id in(select roleId "
                        + "from TbUserRole where userid = "
                        + "(select id from TbUser where UserName=@UserName))";
            string currentUser = httpContext.User.Identity.Name;
            SqlParameter[] paras = new SqlParameter[] { 
                new SqlParameter("@UserName",currentUser)
            };
            var userRoles = db.Database.SqlQuery<string>(sql, paras).ToList();
            //驗證是否屬於對應角色
            for (int i = 0; i < AuthRoles.Length; i++)
            {
                if (userRoles.Contains(AuthRoles[i]))
                {
                    return true;
                }
            }
            #endregion
            return false;
        }
        /// <summary>
        /// 提供一個入口點用於自定義受權檢查，經過爲true
        /// </summary>
        /// <param name="filterContext"></param>
        public override void OnAuthorization(AuthorizationContext filterContext)
        {
            string controllerName = filterContext.ActionDescriptor.ControllerDescriptor.ControllerName;
            string actionName = filterContext.ActionDescriptor.ActionName;
            //獲取config文件配置的action容許的角色，之後能夠轉到數據庫中
            string roles = GetActionRoles(actionName, controllerName);
            if (!string.IsNullOrWhiteSpace(roles))
            {
                this.AuthRoles = roles.Split(new string[] { "," }, StringSplitOptions.RemoveEmptyEntries);
            }
            else {
                this.AuthRoles = new string[] { };
            }
            base.OnAuthorization(filterContext);
        }
        /// <summary>
        /// 根據當前Controller和Action名稱獲取對應節點內容
        /// </summary>
        /// <param name="action">Action名稱</param>
        /// <param name="controller">Controller名稱</param>
        /// <returns></returns>
        private static string GetActionRoles(string action, string controller)
        {
            XElement rootElement = XElement.Load(HttpContext.Current.Server.MapPath("~/Configs/") + "ActionRoles.xml");
            XElement controllerElement = FindElementByAttribute(rootElement, "Controller", controller);
            if (controllerElement != null)
            {
                XElement actionElement = FindElementByAttribute(controllerElement, "Action", action);
                if (actionElement != null)
                {
                    return actionElement.Value;
                }
            }
            return "";
        }

        private static XElement FindElementByAttribute(XElement xelement, string tagName, string attribute)
        {
            XElement nowXelement = xelement.Elements(tagName).FirstOrDefault(e => e.Attribute("name").Value.Equals(attribute, StringComparison.OrdinalIgnoreCase));
            return nowXelement;
        }
    }

View Code

總結

在此，權限控制的整個過程就差很少了，咱們來測試一下。

新建HomeController, 新建一些Action作測試（Index, About，Install，Other）

回顧一下基礎數據。

HomeController.cs

namespace TestMVC.Controllers
{
    [CustomAuthorizeAttribute]
    public class HomeController : Controller
    {
        // GET: Home
        public ActionResult Index()
        {
            return View();
        }

        public ActionResult About()
        {
            return View();
        }
        public ActionResult Install()
        {
            return View();
        }
        public ActionResult Other()
        {
            return View();
        }
    }
}