权限管理,一般指根据系统设置的安全规则或者安全策略,用户可以访问而且只能访问自己被授权的资源,不多不少。权限管理几乎出现在任何系统里面,只要有用户和密码的系统。权限管理还是比较复杂的,有的固定到某个模块,某个操作,甚至是某个按钮,总之想要做好一个权限管理,真的很不容易,一直在探索当中,全当抛砖引玉;看到网上好多关于权限管理的文章,以前也写过简单的文章,今天楼主我也要总结整理一下自己的实现方法,毕竟一千个读者就有一千个哈姆雷特,说说自己的详细实现、基本设计和基本思想希望帮到入门的新人们。
一、基本的数据库表设计
基本的表设计如图,用户表、角色表、模块表、权限表和用户角色关系表、角色模块权限关系表,某个用户的角色(管理员、用户等),然后再去判断对应角色的模块(新闻、文章等)权限(增、删、改、查)。
创建基本权限操作的SQL脚本:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
|
CREATE TABLE [dbo].[Module]( [ID] [ int ] IDENTITY(1,1) PRIMARY KEY NOT NULL , [ModuleKey] [nvarchar](100) NOT NULL , [ModuleName] [nvarchar](100) NOT NULL , ) CREATE TABLE [dbo].[Permission]( [ID] [ int ] IDENTITY(1,1) PRIMARY KEY NOT NULL , [PermissionKey] [nvarchar](100) NOT NULL , [PermissionName] [nvarchar](100) NOT NULL , ) CREATE TABLE [dbo].[Role]( [ID] [ int ] IDENTITY(1,1) PRIMARY KEY NOT NULL , [RoleName] [nvarchar](100) NOT NULL , ) CREATE TABLE [dbo].[RoleModulePermission]( [ID] [ int ] IDENTITY(1,1) PRIMARY KEY NOT NULL , [RoleID] [ int ] NOT NULL , [ModuleID] [ int ] NOT NULL , [PermissionID] [ int ] NOT NULL , ) CREATE TABLE [dbo].[ User ]( [ID] [ int ] IDENTITY(1,1) PRIMARY KEY NOT NULL , [AccountNum] [nvarchar](100) NOT NULL , [Pwd] [nvarchar](100) NOT NULL , [Status] [ int ] NOT NULL , [LastLoginTime] [datetime] NOT NULL , [Remark] [nvarchar](100) NULL , ) CREATE TABLE [dbo].[UserRole]( [ID] [ int ] IDENTITY(1,1) PRIMARY KEY NOT NULL , [UserID] [ int ] NOT NULL , [RoleID] [ int ] NOT NULL , ) |
二、代码中具体的实现
这是一个基类,所有的Controller都继承BaseController,[UserAuthorizeFilter(Order = 999)],每一个Action过滤器都有一个 Order 属性,用来决定Action过滤器在该范围内的执行顺序。Order属性必需是0(默认值)或者更大的整数值。省略Order属性则会给该过滤器的Order值为 -1, 表明为指明顺序。任何一个在同一范围的Action过滤器Order设为 -1 的都将按不确定的顺序执行,单在此之前过滤器有一个特定的顺序。登录的时候是存储的加密的Cookie,会有一个私钥(自己定义)。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
|
[UserAuthorizeFilter(Order = 999)] public class BaseController : Controller { public int LoginID { get ; set ; } public string LoginName { get ; set ; } /// <summary> /// 是否登录的标志 /// </summary> /// <returns></returns> public bool IsLogin() { if (NCookieUtil.GetCookie( "GkqCMSCookie" ) != null ) { string cookie_ver = NCookieUtil.GetCookie( "GkqCMSCookie" ); string [] cookieArray = cookie_ver.Split( '&' ); int loginId = cookieArray[1].ToInt(); string token = cookieArray[0].ObjectToString(); Admin_User user = AdminPermissionRepository.Get(loginId); if (user != null ) { string tokenKey = string .Format( "{0}{1}{2}{3}" , user.ID.ObjectToString(), user.AccountNum.ObjectToString(), user.Pwd.ObjectToString(), CommonHelper.SecretSalt); if (token == tokenKey) { LoginID = user.ID; LoginName = user.AccountNum; return true ; } return false ; } return false ; } else { return false ; } } } |
Filter里面判断用户是否登录cb.IsLogin(),如果登陆验证通过还要验证是否对某个某个Controller对应的Action有操作权限。如果未登录或者发成错误底层会捕获,跳转到登陆页面或者是错误页。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
|
public class UserAuthorizeFilter : System.Web.Mvc.AuthorizeAttribute { public override void OnAuthorization(AuthorizationContext filterContext) { BaseController cb = filterContext.Controller as BaseController; if (!cb.IsLogin()) { SetHttpContext(filterContext, GkmBBS.DataCenter.GlobalEnumHelper.EnumJsonResult.NotLogin, "未登录" ); } else { bool IsAuthorization = filterContext.Controller.TempData[ "IsAuthorization" ].ToBoolean( true ); if (IsAuthorization) { string controller = filterContext.RouteData.Values[ "controller" ].ObjectToString(); string action = filterContext.RouteData.Values[ "action" ].ObjectToString(); if (!AdminPermissionRepository.IsPowerPage(cb.LoginID,controller, action)) { SetHttpContext(filterContext, GkmBBS.DataCenter.GlobalEnumHelper.EnumJsonResult.NoAccess, "您没有权限执行此操作" ); } } } } private void SetHttpContext(AuthorizationContext filterContext, GkmBBS.DataCenter.GlobalEnumHelper.EnumJsonResult result, string msg) { if (filterContext.HttpContext.Request.IsAjaxRequest()) { var data = new { Result = ( int )result, Msg = msg }; filterContext.Result = new JsonpResult() { Data = data, JsonRequestBehavior = JsonRequestBehavior.AllowGet }; } else { if (result == GkmBBS.DataCenter.GlobalEnumHelper.EnumJsonResult.NotLogin) { filterContext.Result = new RedirectResult( string .Format( "/Login/Index?ReturnUrl={0}" , filterContext.HttpContext.Request.Url.OriginalString)); } else { filterContext.Controller.ViewData[ "ErrorMessage" ] = msg; filterContext.Result = new ViewResult() { ViewName = "Error" , ViewData = filterContext.Controller.ViewData }; } } } } |
用户的ID判断角色,然后把角色去查是否有这个权限,如果有进入,对应的controller 和action,如果没有则没权限。具体实现方法如下:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
|
public static bool IsPowerPage( int loginID, string Moudle, string operate) { try { string sql = string .Format( @"SELECT COUNT(1) FROM ( SELECT c.modulekey, d.permissionkey FROM ( SELECT * FROM Admin_userrole WHERE userid = {0} ) a LEFT JOIN Admin_RoleModulePermission b ON a.roleId = b.roleId LEFT JOIN Admin_Module c ON b.moduleId = c.Id LEFT JOIN Admin_Permission d ON b.PermissionId = d.Id ) e WHERE e.moduleKey = '{1}' AND e.PermissionKey = '{2}'" , loginID, Moudle, operate); return NSqlHelper.ExecuteScalar(NWebConfig.ReadConnectionString(DBCon.SYS_DBCONNSTRING), CommandType.Text, sql, null ).ToInt() > 0; } catch (Exception ex) { log.Error( "AdminPermissionRepository-IsPowerPage" , ex); return false ; } } |
用户登录成功写入Cookie,然后浏览每个模块判断登录和具体某个模块的权限, 这算是一个最基本简单权限管理,适合新手入门用,大牛们觉的不合适的地方,或者更好的方法多多指导!