• (转) MVC身份验证及权限管理-2


    转自:http://www.cnblogs.com/ldp615/archive/2010/10/27/asp-net-mvc-forms-authentication-roles-authorization-demo.html

    ASP.NET MVC 建立 ASP.NET 基础之上,很多 ASP.NET 的特性(如窗体身份验证、成员资格)在 MVC 中可以直接使用。本文旨在提供可参考的代码,不会涉及这方面太多理论的知识。

    本文仅使用 ASP.NET 的窗体身份验证,不会使用它的 成员资格(Membership) 和 角色管理 (RoleManager),原因有二:一是不灵活,二是和 MVC 关系不太。

    一、示例项目

    image

    User.cs 是模型文件,其中包含了 User 类:

    public class User
    {
        public int ID { get; set; }
        public string Name { get; set; }
        public string Password { get; set; }
        public string[] Roles { get; set;  }
    }

    UserRepository 为数据存取类,为了演示方便,并没有连接数据库,而是使用一个数组来作为数据源:

    public class UserRepository
    {
        private static User[] usersForTest = new[]{
            new User{ ID = 1, Name = "bob", Password = "bob", Roles = new []{"employee"}},
            new User{ ID = 2, Name = "tom", Password = "tom", Roles = new []{"manager"}},
            new User{ ID = 3, Name = "admin", Password = "admin", Roles = new[]{"admin"}},
        };
    
        public bool ValidateUser(string userName, string password)
        {
            return usersForTest
                .Any(u => u.Name == userName && u.Password == password);
        }
    
        public string[] GetRoles(string userName)
        {
            return usersForTest
                .Where(u => u.Name == userName)
                .Select(u => u.Roles)
                .FirstOrDefault();
        }
    
        public User GetByNameAndPassword(string name, string password)
        {
            return usersForTest
                .FirstOrDefault(u => u.Name == name && u.Password == password);
        }
    }

    二、用户登录及身份验证

    方式一

    修改 AccountController:原有 AccountController 为了实现控制反转,对窗体身份验证进行了抽象。为了演示方便,我去除了这部分(以及注册及修改密码部分):

    public class AccountController : Controller
    {
        private UserRepository repository = new UserRepository();
        
        public ActionResult LogOn()
        {
            return View();
        }
    
        [HttpPost]
        public ActionResult LogOn(LogOnModel model, string returnUrl)
        {
            if (ModelState.IsValid)
            {
                if (repository.ValidateUser(model.UserName, model.Password))
                {
                    FormsAuthentication.SetAuthCookie(model.UserName, model.RememberMe);
                    if (!String.IsNullOrEmpty(returnUrl)) return Redirect(returnUrl);
                    else return RedirectToAction("Index", "Home");
                }
                else
                    ModelState.AddModelError("", "用户名或密码不正确!");
            }
            return View(model);
        }
    
        public ActionResult LogOff()
        {
            FormsAuthentication.SignOut();
            return RedirectToAction("Index", "Home");
        }
    }

    修改 Global.asax:

    public class MvcApplication : System.Web.HttpApplication
    {
        public MvcApplication()
        {
            AuthorizeRequest += new EventHandler(MvcApplication_AuthorizeRequest);
        }
    
        void MvcApplication_AuthorizeRequest(object sender, EventArgs e)
        {
            IIdentity id = Context.User.Identity;
            if (id.IsAuthenticated)
            {
                var roles = new UserRepository().GetRoles(id.Name);
                Context.User = new GenericPrincipal(id, roles);
            }
        }
        //...
    }

    给 MvcApplication 增加构造函数,在其中增加 AuthorizeRequest 事件的处理函数。

    代码下载:Mvc-FormsAuthentication-RolesAuthorization-1.rar (243KB)

    方式二

    此方式将用户的角色保存至用户 Cookie,使用到了 FormsAuthenticationTicket。

    修改 AccountController:

    public class AccountController : Controller
    {
        private UserRepository repository = new UserRepository();
        
        public ActionResult LogOn()
        {
            return View();
        }
    
        [HttpPost]
        public ActionResult LogOn(LogOnModel model, string returnUrl)
        {
            if (ModelState.IsValid)
            {
                User user = repository.GetByNameAndPassword(model.UserName, model.Password);
                if (user != null)
                {
                    FormsAuthenticationTicket ticket = new FormsAuthenticationTicket(
                        1,
                        user.Name,
                        DateTime.Now,
                        DateTime.Now.Add(FormsAuthentication.Timeout),
                        model.RememberMe,
                        user.Roles.Aggregate((i,j)=>i+","+j)
                        );                    
                    HttpCookie cookie = new HttpCookie(
                        FormsAuthentication.FormsCookieName,
                        FormsAuthentication.Encrypt(ticket));
                    Response.Cookies.Add(cookie);
    
                    if (!String.IsNullOrEmpty(returnUrl)) return Redirect(returnUrl);
                    else return RedirectToAction("Index", "Home");
                }
                else
                    ModelState.AddModelError("", "用户名或密码不正确!");
            }
            return View(model);
        }
    
        public ActionResult LogOff()
        {
            FormsAuthentication.SignOut();
            return RedirectToAction("Index", "Home");
        }
    }

    修改 Global.asax:

    public class MvcApplication : System.Web.HttpApplication
    {
        public MvcApplication()
        {
            AuthorizeRequest += new EventHandler(MvcApplication_AuthorizeRequest);
        }
    
        void MvcApplication_AuthorizeRequest(object sender, EventArgs e)
        {
            var id = Context.User.Identity as FormsIdentity;
            if (id != null && id.IsAuthenticated)
            {
                var roles = id.Ticket.UserData.Split(',');
                Context.User = new GenericPrincipal(id, roles);
            }
        }
        //...
    }

    代码下载:Mvc-FormsAuthentication-RolesAuthorization-2.rar (244KB)

    三、角色权限

    使用任一种方式后,我们就可以在 Controller 中使用 AuthorizeAttribute 实现基于角色的权限管理了:

    [Authorize(Roles = "employee,manager")]
    public ActionResult Index1()
    {
        return View();
    }
    [Authorize(Roles = "manager")]
    public ActionResult Index2()
    {
        return View();
    }
    [Authorize(Users="admin", Roles = "admin")]
    public ActionResult Index3()
    {
        return View();
    }

    四、简要说明

    MVC 使用 HttpContext.User 属性进行来进行实现身份验证及角色管理,同样 AuthorizeAttribute 也根据 HttpContext.User 进行角色权限验证。

    因些不要在用户登录后,将相关用户信息保存在 Session 中(网上经常看到这种做法),将用户保存在 Session 中是一种非常不好的做法。

    也不要在 Action 中进行角色权限判断,应该使用 AuthorizeAttribute 或它的子类,以下的方式都是错误的

    public ActionResult Action1()
    {
        if (Session["User"] == null) { /**/}
        /**/
    }
    public ActionResult Action2()
    {
        if (User.Identity == null) { /**/}
        if (User.Identity.IsAuthenticated == false) { /**/}
        if (User.IsInRole("admin") == false) { /**/}
        /**/
    }

    若本文中有错误或不妥之处,敬请指正,谢谢!

  • 相关阅读:
    【转】机器学习算法一览,应用建议与解决思路
    机器学习笔记04(Logistic Regression)
    机器学习笔记03(Classification: Probabilistic Generative Model)
    机器学习笔记00(课程结构)
    .Net PE
    wpf 画五角星函数
    .Net Core CLR FileFormat Call Method( Include MetaData, Stream, #~)
    天子守国门,君王死社稷
    CoreCLR Host源码分析(C++)
    Core CLR Host 源码简单分析
  • 原文地址:https://www.cnblogs.com/jiajinyi/p/3284474.html
Copyright © 2020-2023  润新知