ASP.NET Web Forms权限管理:

我要将一个文件夹只能让一个用户组访问怎么办?

可否在网站根目录下的web.config里这样设置:

<location path="admin">

    <system.web>

      <authorization>

        <allow roles="adminer">

        </allow>

        <deny users="*">

        </deny>

      </authorization>

    </system.web>

  </location>

(注:最后经过测试,这样是可以的,这里只是为了说明web.config是分层,可覆盖的)

最后我想到,在每个文件夹下加一个web.config重写

<authorization/>部分

如:

a文件夹下web.config:

<?xml version="1.0" encoding="utf-8" ?>

<configuration> 

  <system.web>

      <authorization>

            <allow  roles = "admin"/>

            <deny   user  = "?"/>

    </authorization>

 </system.web>

</configuration>

b文件夹下的web.congfig

<?xml version="1.0" encoding="utf-8" ?>

<configuration> 

  <system.web>

      <authorization>

            <allow  roles="teacher"/>

              <deny users = "?" roles = "student,admin"/>

    </authorization>

 </system.web>

</configuration>

这样就对不同的文件夹实现不同的授权了

基于角色的验证终于完成了

如下实现方法:

1.在web.config里这样设置:

<system.web>

       <authorization>

              <allow = “roleslist”/>

              <deny users = “?”/>

       </authorization>

</system.webconfig>

登陆成功以后生成一个票据,票据里存储有用户的用户名和角色等信息,将票据发送到客户端,并跳转到请求的页面。

如:

//如果通过验证

if (IsPass)

{

     FormsAuthenticationTicket ticket = new FormsAuthenticationTicket(,studentinfo.userid,DateTime.Now,DateTime.Now.AddMinutes(),false,studentinfo.role,"/");

     string CodeTicket = FormsAuthentication.Encrypt(ticket);

     HttpCookie cookie = new HttpCookie(FormsAuthentication.FormsCookieName,CodeTicket);

     Context.Response.Cookies.Add(cookie);

     Context.Response.Redirect(RedirectTarget);

}

2.在Gloabal.asa.cs里的Application_AuthenticateRequest中获取客户端的cookie中的role信息,并生成GenericPrincipal对象保存在Application.Conext.User里

如:

protected void Application_AuthenticateRequest(Object sender, EventArgs e)

{

     HttpApplication App = (HttpApplication) sender;

     HttpContext Ctx = App.Context ; //获取本次Http请求相关的HttpContext对象

     if (Ctx.Request.IsAuthenticated == true) //验证过的用户才进行role的处理

     {

         FormsIdentity Id = (FormsIdentity)Ctx.User.Identity ;

         FormsAuthenticationTicket Ticket = Id.Ticket ; //取得身份验证票

         string[] Roles = Ticket.UserData.Split (',') ; //将身份验证票中的role数据//转成字符串数组

         Ctx.User = new GenericPrincipal (Id, Roles) ; //将原有的Identity加上角色信//息新建一个GenericPrincipal表示当前用户,这样当前用户就拥有了role信息

     }

}

使用这种权限管理的前提是Web Forms进行开发,在MVC框架中,这种方法却无法正常工作,原因有两点:

  • 请求不再映射到物理目录。
  • 可能存在多种查找同一控制器的方式。

 ASP.NET MVC权限管理:

Authorize特性是ASP.NET MVC自带的默认授权过滤器,可用来限制用户对操作方法的访问。

对于大多数网站来说,基本上整个应用程序都是需要授权的。因此,把AuthorizeAttribute配置为全局过滤器,使用AllowAnonymous特性匿名访问指定控制器或方法,就变成了不错的想法。

public static void RegisterGlobalFilters(GlobalFilterCollection filters)
{
filters.Add(new System.Web.Mvc.AuthorizeAttribute());
filters.Add(new HandleErrorAttribute());
}

这样就会把AuthorizeAttribute应用到整个程序的所有控制器操作。显而易见,这样也限制了对整个网站的访问。MVC4中新添加了AllowAnonymous特性,用AllowAnonymous特性装饰的方法能够匿名访问。

我们也能限制特定用户或角色的访问,Authorize特性允许指定角色和用户:

[Authorize(Roles = "Administrator,SuperAdmin", Users = "Jon,Phil")]
public class TopSecretController : Controller

值得注意的是全局过滤器只针对MVC控制器操作,不能保障Web Forms、静态内容或其他ASP.NET处理程序的安全。

除了使用过滤器控制权限,我们可以在运行Controller之前来判断用户操作权限,那么我们可以试想此处的应用场景,如当我们的用户未认证,那么我们可以通过直接判断跳转到认证页面。

具体实现方法:重写Controller里面的OnActionExecuting,需要授权认证的控制器继承重写后的Controller。

/// <summary>
/// 在执行操作方法之前由 MVC 框架调用,我们在此实现我们的权限验证
/// </summary>
/// <param name="filterContext"></param>
protected override void OnActionExecuting(ActionExecutingContext filterContext)
{
int statusCode = ;//200:成功,401:未登录,403:没有权限
string url = Request.RawUrl.ToLower();
if (Method.isLogin())
{
if (!checkAuthority(url))
{
statusCode = ;
}
}
else
{
statusCode = ;
}
if (statusCode != )//未通过授权
{
if (url.Contains("/api"))//api异步请求返回状态码
{
var json = new
{
result = statusCode
};
filterContext.Result = Json(json, JsonRequestBehavior.AllowGet);
}
else//页面请求跳转
{
//filterContext.Result = new RedirectToRouteResult(new RouteValueDictionary(new { Controller = "Login", action = "Login" }));
switch (statusCode)
{
case :
filterContext.Result = RedirectToAction("Login", "Login");
break;
case :
filterContext.Result = RedirectToAction("NoAuthority", "Login");
break;
}
}
}
}

其中的checkAuthority()方法判断管理员的权限:

/// <summary>
/// 权限判断
/// </summary>
/// <param name="power"></param>
private bool checkAuthority(string url)
{
string[] arr = Method.getAdminInfo["authority"].Split(new char[] { ',' }, StringSplitOptions.RemoveEmptyEntries);
string val = "";
switch (url)
{
     //权限100 查看会员
case "/member/mymember":
val = ""; break;
//权限101 修改会员
case "/api/editmember":
val = ""; break;
}
if (val != "")//该页面需要权限进入
{
return arr.Contains(val);
}
else
{
return true;
}
}
其中的Method.getAdminInfo["authority"]是我写的获取登录票据中管理员的权限(用“,”分割的数字)。

RBAC数据库设计图:


原文参考:.net用户角色与访问权限控制

     大型门户网站的RBAC用户权限管理

     《ASP.NET MVC4 高级编程》(第四版)

ASP.NET权限管理的更多相关文章

  1. ASP.NET 开发必备知识点(2):那些年追过的ASP.NET权限管理

    一.前言 在前一篇文章已经为大家介绍了OWIN和Katana,有了对他们的了解之后,才能更好地去学习Asp.net Identity,因为Asp.net Identity的实现集成了Owin.其实在A ...

  2. ASP.NET-权限管理五张表

    ASP.NET 权限管理五张表 权限管理的表(5张表) 每个表里面必有的一些信息 序号 名称  字段  类型   主键 默认值 是否为空 备注 1  用户ID  ID      INT     是   ...

  3. Asp.Net Mvc通用后台管理系统,bootstrap+easyui+权限管理+ORM

    产品清单: 1.整站源码,非编译版,方便进行业务的二次开发 2.通用模块与用户等基础数据的数据库脚本 3.bootstrap3.3.1 AceAdmin模板源码 4.easyui1.3.5源码 5.F ...

  4. Asp.Net MVC+BootStrap+EF6.0实现简单的用户角色权限管理

    这是本人第一次写,写的不好的地方还忘包含.写这个的主要原因是想通过这个来学习下EF的CodeFirst模式,本来也想用AngularJs来玩玩的,但是自己只会普通的绑定,对指令这些不是很熟悉,所以就基 ...

  5. ASP.NET MVC+EF框架+EasyUI实现权限管理系列(24)-权限组的设计和实现(附源码)(终结)

    ASP.NET MVC+EF框架+EasyUI实现权限管系列 (开篇)   (1):框架搭建    (2):数据库访问层的设计Demo    (3):面向接口编程   (4 ):业务逻辑层的封装    ...

  6. ASP.NET MVC+EF框架+EasyUI实现权限管理系列

    http://www.cnblogs.com/hanyinglong/archive/2013/03/22/2976478.html ASP.NET MVC+EF框架+EasyUI实现权限管理系列之开 ...

  7. 仿SiteMap实现Asp.net 网站的菜单和权限管理

    在Asp.net中,SiteMap用于站点导航,可以与Menu等控件一起使用实现网站的菜单和权限管理.但是SiteMap提供的方法都是只读的,无法再运行时修改(菜单)导航文件,需要手动修改配置web. ...

  8. ASP.NET MVC:窗体身份验证及角色权限管理示例

    ASP.NET MVC 建立 ASP.NET 基础之上,很多 ASP.NET 的特性(如窗体身份验证.成员资格)在 MVC 中可以直接使用.本文旨在提供可参考的代码,不会涉及这方面太多理论的知识. 本 ...

  9. ASP.NET MVC+EF框架+EasyUI实现权限管理系列(21)-用户角色权限基本的实现说明

    原文:ASP.NET MVC+EF框架+EasyUI实现权限管理系列(21)-用户角色权限基本的实现说明     ASP.NET MVC+EF框架+EasyUI实现权限管系列 (开篇)   (1):框 ...

随机推荐

  1. webpack 编译完成执行代码

    接收一个项目,由于目录结构的问题,每次编译完成后就需要去修改编译后的 HTML 文件中引用的其它文件的路径. 所以想在编译完成后使用 node 来操作文件修改路径. 然后在 webpack 官网找到了 ...

  2. EL表达式有无双引号的区别

    最近做项目时发现原来对EL表达式理解太浅,通过一个springMVC项目,加深了对其的理解,下面总结一下,如发现有不对之处,请批评指正: 1.在单独的js文件中,EL表达式无效,如:var type= ...

  3. fopen中r+和w+的区别

    r+: Open for reading and writing.  The stream is positioned  at  the beginning of the file. w+:Open ...

  4. 基于XML的AOP配置-转

    http://www.cnblogs.com/yangy608/archive/2010/11/14/1876839.html AOP(Aspect-Oriented Programming,面向切面 ...

  5. MYSQL权限表user操作

        MYSQL权限表user cmd中进人mysql找到mysql安装目录     E:\wamp\bin\mysql\mysql5.6.12\bin>mysql.exe -u 用户名  - ...

  6. 基于Netty的私有协议栈的开发

    基于Netty的私有协议栈的开发 书是人类进步的阶梯,每读一本书都使自己得以提升,以前看书都是看了就看了,当时感觉受益匪浅,时间一长就又还回到书本了!所以说,好记性不如烂笔头,以后每次看完一本书都写一 ...

  7. Windows下: RubyMine + Ruby On Rails + mysql 搭建开发环境

    最近在接手一个手机项目.在搭建环境的过程中,遇到了一些问题,在下文中已做记录,并奉上个人的解决方案. 开发环境 win2003 ;  JetBrains RubyMine6.3.3 1.  下载最新版 ...

  8. Shiro启用注解方式

    shiro验证权限方式一种是基于url配置文件: 例如: <bean id="shiroFilter" class="org.apache.shiro.spring ...

  9. 【maven】之配置开发,测试,正式环境pom.xml文件

    在进行web程序开发,如果项目组没有使用自动化发布工具(jenkins + maven + svn + tomcat ),我们一般会使用maven的热部署来完成发布,在部署的过程中我们开发,测试,生产 ...

  10. Install Houdini 12.5 x64 in CentOS 7

    Thanks for Must(QQ ID)'s big help for installing Houdini in CentOS7. - download HOUDINI_FX_V12.5.371 ...