C# MVC权限验证

前言

之前一直没怎么接触过权限验证这块，刚好公司老平台改版，就有了这篇权限验证。此篇文章大致讲解下 精确到按钮级别的验证如何实现、以及权限验证设计的参考思路（菜鸟一枚，大神勿喷）。

在开发大项目的时候总会有相关的AOP面向切面编程的组件，而MVC（特指：Asp.Net MVC，以下皆同）项目中不想让MVC开发人员去关心和写类似身份验证，日志，异常，行为截取等这部分重复的代码，那我们可以通过AOP截取实现，而在MVC项目中我们就可以直接使用它提供的Filter的特性帮我们解决，不用自己实现复杂的AOP了。

在Asp.NET Mvc中当你有以下及类似以下需求时你可以使用Filter（过滤器）功能

1. 判断登录与否或用户权限
2. 决策输出缓存
3. 防盗链
4. 防蜘蛛
5. 本地化与国际化设置
6. 实现动态Action

第一节：知识储备

1. Asp.Net MVC提供了以下几种默认的Filter：

2. 

   大家注意一点，Asp.Net MVC提供的ActionFilterAttribute默认实现了IActionFilter和IResultFilter。而ActionFilterAttribute是一个Abstract的类型，所以不能直接使用，因为它不能实例化，所以我们想使用它必须继承一下它然后才能使用。

   Filter继承于ActionFilterAttribute抽象类,并可以覆写                                                                                                                                                                 void OnActionExecuting(ActionExecutingContext)                                                                                                                                      voidOnActionExecuted(ActionExecutedContext)                                                                                                                                                void OnResultExecuting(ResultExecutingContext)                                                                                                                                                          void OnResultExecuted(ResultExecutedContext)。

3. 它们的执行先后顺序如下：

   　　OnActionExecuting是Action执行前的操作

   　　OnActionExecuted则是Action执行后的操作

   　　OnResultExecuting是解析ActionResult前执行

   　　OnResultExecuted是解析ActionResult后执行

   接下来我们只要对以上的方法进行重写就可以在相应的步骤做一些操作了。

第二节：Filter实战

光说不练假把式，下面我给大家一个示例,来看看它们的执行顺序，首先添加一个普通的类TestFilterAttribute，这个类要继承ActionFilterAttribute，代码如下：

     /// <summary>
     /// Filter 执行顺序Test,需要继承筛选器的基类ActionFilterAttribute
     /// </summary>
     public class TestFilterAttribute : ActionFilterAttribute
     {
         public string Message { get; set; }

         public override void OnActionExecuting(ActionExecutingContext filterContext)
         {
             base.OnActionExecuting(filterContext);
             filterContext.HttpContext.Response.Write("Action执行之前" + Message + "<br />");
         }

         public override void OnActionExecuted(ActionExecutedContext filterContext)
         {
             base.OnActionExecuted(filterContext);
             filterContext.HttpContext.Response.Write("Action执行之后" + Message + "<br />");
         }

         public override void OnResultExecuting(ResultExecutingContext filterContext)
         {
             base.OnResultExecuting(filterContext);
             filterContext.HttpContext.Response.Write("返回Result之前" + Message + "<br />");
         }

         public override void OnResultExecuted(ResultExecutedContext filterContext)
         {
             base.OnResultExecuted(filterContext);
             filterContext.HttpContext.Response.Write("返回Result之后" + Message + "<br />");
         }
     }

写完这个代码后，我们回到Action上，打上上面的标记如下所示：

        [TestFilterAttribute(Message = "Action")]
         public ActionResult Index()
         {
             HttpContext.Response.Write("Action正在执行···<br />");
             return Content("正在返回Result···<br />");
         }

然后通过浏览器访问上面的Action便可以看到下面的执行顺序

总的执行顺序是：

Action执行前：OnActionExecuting方法先执行→Action执行→OnActionExecuted方法执行→OnResultExecuting方法执行→返回的ActionRsult中的executeResult方法执行→OnResultExecuted执行

最终显示的效果就是如上图所示。

感觉还不错吧！哈哈！这要想用到这个过滤机制的地方的时候，只要在Action上面添加标记便可以实现效果。

如果我们将此标签打到Controller上的话，TestFilterAttributeFilter将作用到Controller下的所有的Action。例如如下代码所示：

    [TestFilter(Message="Controller")]
    public class TestFilterController : Controller
    {
        //
        // GET: /TestFilter/
        [TestFilter(Message="Action")]
        public ActionResult Index()
        {
            HttpContext.Response.Write("Action正在执行···<br />");
            return Content("正在返回Result···<br />");
        }

    }

如果单纯的按照上面的代码来做就有个问题了，我们再执行显示的页面会有什么情况呢？Controller上的Filter会执行吗？那标签的作用会执行两次吗？下面是最后的执行结果如下图所示：

结果说明

默认情况下Action上打了TestFilterAttribute 标签后，虽然在Controller上也打上了此标签，但它只有Action上的标签起作用了。

补充：如果Action没有打上TestFilterAttribute标签，那么Controller上的标签便会被执行。

Index 执行时，Filter的方法只执行了一次，而某些情况下我们也想让Controller上的FilterAttribute也执行一次TestFilterAttribute，那我们怎么才能让Controller上的[TestFilter(Message = "controller")]也起作用呢？

答案是：我们只需在TestFilterAttribute类的定义上打上标记[AttributeUsage(AttributeTargets.All, AllowMultiple = true)]即可【下面类的最上面红色字体部分】，也就是让其成为可以多次执行的Action。代码如下：

/// <summary>
    /// Filter 执行顺序Test,需要继承筛选器的基类ActionFilterAttribute
    /// </summary
    [AttributeUsage(AttributeTargets.All, AllowMultiple = true)] //打标记是让所有的Controller的标记生效
    public class TestFilterAttribute : ActionFilterAttribute
    {
        public string Message { get; set; }

        public override void OnActionExecuting(ActionExecutingContext filterContext)
        {
            base.OnActionExecuting(filterContext);
            filterContext.HttpContext.Response.Write("Action执行之前" + Message + "<br />");
        }

        public override void OnActionExecuted(ActionExecutedContext filterContext)
        {
            base.OnActionExecuted(filterContext);
            filterContext.HttpContext.Response.Write("Action执行之后" + Message + "<br />");
        }

        public override void OnResultExecuting(ResultExecutingContext filterContext)
        {
            base.OnResultExecuting(filterContext);
            filterContext.HttpContext.Response.Write("返回Result之前" + Message + "<br />");
        }

        public override void OnResultExecuted(ResultExecutedContext filterContext)
        {
            base.OnResultExecuted(filterContext);
            filterContext.HttpContext.Response.Write("返回Result之后" + Message + "<br />");
        }
    }

浏览效果如下图：

我们看到的结果是Controller上的ActionFilter先于Action上打的标记执行。同样Result执行executeResult方法之前也是先执行Controller上的Filter标记中的OnResultexecuteing方法。

最后的执行顺序是：Controller上的OnActionExecuting→Action上的OnActionExecuting→Action执行→Action上的OnActionExecuted→Controller上的OnActionExecuted

到此Action就执行完毕了，我们看到是一个入栈出栈的顺序。后面是Action返回ActionResult后执行了ExecuteResult方法，但在执行之前要执行Filter。具体顺序为：

接上面→Controller的OnResultExecuting方法→Action上的OnResultExecuting→Action返回ActionResult后执行了ExecuteResult方法→Action上的OnResultExecuted执行→Controller上的OnResultExecuted执行→结束。

又接着一个问题也来了，我们想有些公共的方法需要每个Action都执行以下，而在所有的Controller打标记是很痛苦的。幸好Asp。Net MVC3带来了一个美好的东西，全局Filter。而怎么注册全局Filter呢？答案就在Global.asax中。让我们看以下代码，我是如何将上面我们定义的TestFilterAttribute 注册到全局Filter中。上代码：

      public static void RegisterGlobalFilters(GlobalFilterCollection filters)
        {
            filters.Add(new HandleErrorAttribute());
            //注册全局过滤器
            filters.Add(new TestFilterAttribute() { Message="全局"});
        }

效果如下图：

我们看到的结果是全局的Action首先执行，然后才是Controller下的Filter执行，最后才是Action上的标签执行。当然这是在TestFilterAttribute类的定义上打上标记[AttributeUsage(AttributeTargets.All, AllowMultiple = true)]的前提下。不然 如果Action打上了标签跟Controller的相同则它只会执行Action上的Filter。

第三节：其他Filter

AcceptVerbs

规定页面的访问形式，如

        [AcceptVerbs(HttpVerbs.Post)]
         public ActionResult Example(){
             return View();
         }

页面只能以Post形式访问，即表单提交。

ActionName

规定Action的名称。

应用场景：如果不想用方法名做为Action名，或Action名为关键字的话，如

       [ActionName("class")]
         public ActionResult Example(){
             return View();
         }

NonAction

当前方法仅是普通方法不解析为Action

OutputCache

为Action添加缓存

        [OutputCache(Duration = 60, VaryByParam = "*")]
        public ActionResult Example()
        {
            return View();
        }

ValidateInput

该Action可以接受Html等危险代码（ASP.NET MVC在aspx中设置<%@ Page 的属性无法完成等同任务。）

        [ValidateInput(false)]
        public ActionResult Example()
        {
            return View();
        }

ValidateAntiForgeryTokenAttribute

用于验证服务器篡改。

        [ValidateAntiForgeryToken]
        public ActionResult Example()
        {
            return View();
        }

Filter总结

经过这一篇文章的介绍我们大体了解了Filter的使用方法，还了解到全局Filter的用法，尤其是当相同的Filter重复作用到同一个Action上时，如果没有设置可多次执行的标签那只有Action上的Filter执行，而Controller和全局Filter都被屏蔽掉，但是设置可多次执行，那首先执行全局Filter其次是Controller再次之就是Action上的Filter了。同时还了解了系统的Filter的用法。

　　　　★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★

　　　　　　　　　　　　　　　　　　万恶的分割线

　　　　★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★

权限设计

我们可以先来看看它们之间的关系

.....

可能大家看这个数据字典还不够直观那我们来看看下图描述的：

总体上分为：组织权限管理、管理员管理、功能菜单管理、管理组、菜单动作管理几部分。

注意：因为组和角色都具有上下级关系，所以下级的组或角色的权限只能在自己的直属上级的权限中选择，下级的组或者角色的总的权限都不能大于直属上级的总权限。

菜单和按钮权限

新建权限实体

 public class UsersRolesOper
    {
        /// <summary>
        /// 权限ID
        /// </summary>
        public int RoleID { get; set; }
        /// <summary>
        /// 菜单名称
        /// </summary>
        public string MenuName { get; set; }
        /// <summary>
        /// 菜单code
        /// </summary>
        public string MenuCode { get; set; }
        /// <summary>
        /// 菜单ID
        /// </summary>
        public int MenuID { get; set; }
        /// <summary>
        /// 动作ID
        /// </summary>
        public int ActionID { get; set; }
        /// <summary>
        /// 动作名称
        /// </summary>
        public string ActionName { get; set; }
        /// <summary>
        /// 动作Code
        /// </summary>
        public string ActionCode { get; set; }
    }

新建过滤器类AuthorityCheck 实现权限验证

public class AuthorityCheck : ActionFilterAttribute
    {
        private readonly IRolesService _roles;public string KeyWork { get; set; }
        public string MoudleName { get; set; }
        public bool Menu_button { get; set; }

        public override void OnActionExecuting(ActionExecutingContext filterContext)
        {
            //之前执行
            HttpResponseBase response = filterContext.HttpContext.Response;
            if (_roles.AuthorityCheck(KeyWork, HttpContext.Current.User.Identity.Name, MoudleName,Menu_button))
            {
                filterContext.Controller.ViewBag.isPersimion = true;
            }
            else
            {
                filterContext.Controller.ViewBag.isPersimion = false;
            }
            base.OnActionExecuting(filterContext);
        }
    }

        /// <summary>
        /// 验证权限
        /// </summary>
        /// <param name="keyWork">传入code</param>
        /// <param name="userName">用户</param>
        /// <param name="ModuleName">菜单或按钮名称</param>
        /// <param name="Menu_button">菜单还是按钮，false是菜单</param>
        /// <returns></returns>
        public bool AuthorityCheck(string keyWork, string userName, string ModuleName,bool Menu_button=false)
        {
            List<UsersRolesOper> userRoleOper = GetUserPermission(userName, ModuleName);
            if (userRoleOper != null)
            {
                foreach (UsersRolesOper item in userRoleOper)
                {
                    if (Menu_button)
                    {
                        if (item.ActionCode.ToLower() == keyWork.ToLower())
                        {
                            return true;
                        }
                    }
                    else
                    {
                        if (item.ActionName == "查看")
                        {
                            if (item.MenuCode.ToLower() == keyWork.ToLower())
                            {
                                return true;
                            }
                        }
                    }
                }
                return false;
            }
            else
            {
                return false;
            }
        }

GetUserPermission方法就不贴了，主要是从数据库读取用户权限，存放在List集合中

Action使用

如果Action是返回的Json，可以返回Json后再前台处理，其中ViewBag.isPersimion对应过滤器类中返回的结果。例如：

        /// <summary>
        /// 编辑用户保存所有资料
        /// </summary>
        /// <param name="model"></param>
        /// <param name="type"></param>
        /// <returns></returns>
        [HttpPost]
        [AuthorityCheck(KeyWork = "Modify", MoudleName = "修改",Menu_button=true)]
        public ActionResult AccountEdit(GoldEditeView model, int type = )
        {
            ResponseData res = new ResponseData { Status = ResponseStatu.ERROR, Message = "保存出错" };
            if (!LoginInfo.IsSA)
            {
                if (!ViewBag.isPersimion)
                {
                    res = new ResponseData { Status = ResponseStatu.LIMIT, Message = "你没有权限进行此操作！" };
                    return MyJson(res);
                }
            }
            try
            {
                bool flag = false;
                if (model.Person.ID == )
                { }
                else
                {
                    model.PersonInfo.ModifiedBy = LoginInfo.UserName;
                    flag = _accService.UpdateGoldPerson(model);
                }
                if (flag)
                    res = new ResponseData { Status = ResponseStatu.SUCCESS, Message = "SUCCESS", Data = model.Person.ID };

            }
            catch (Exception ex)
            {

                res = new ResponseData { Status = ResponseStatu.SUCCESS, Message = "保存出错", Data = ex.Message };
            }
            return MyJson(res);
        }

如果是window.location.href方式的Action，可以这样处理：

 [HttpPost]
        [AuthorityCheck(KeyWork = "Export", MoudleName = "导出",Menu_button=true)]
        public ActionResult DoneExport(DoneDataSearchView entity = null)
        {
            if (!ViewBag.isPersimion)
            {
                return Content("<script>alert('您没有操作权限');location.href='/GoldAccounts/DoneList'</script>");
            }
            try
            {
                byte[] file = this._accService.GetDoneExportDT(entity);
                if (file == null)
                    return Redirect("/GoldAccounts/DoneList");
                else
                    return File(file, "application/vnd.openxmlformats-officedocument.spreadsheetml.sheet", "GoldAccounts_Excel" + DateTime.Now.ToString("yyyyMMddHHmm") + ".xls");
            }
            catch (Exception ex)
            {

                throw ex;
            }
        }

最后，如果菜单没有权限，可以直接跳转到另一个提示页面：

 [AuthorityCheck(KeyWork = "paper_account", MoudleName = "开户受理", Menu_button = false)]
        public ActionResult PendingList(string id)
        {
            try
            {
                if (!ViewBag.isPersimion)
                {
                   return Redirect("/Home/Limit");
                }
                return View();
            }
            catch (Exception ex)
            {
                throw ex;
            }
        }

效果图

最后附一张效果图：

....