本示例演示了在ASP.NET MVC中进行基于URL的权限控制，由于是基于URL进行控制的，所以只能精确到页。这种权限控制的优点是可以在已有的项目上改动极少的代码来增加权限控制功能，和项目本身的耦合度低，并且实现起来也比较简单。缺点是权限控制不够精确，不能具体到某一具体的按钮或者某一功能。

在数据库中新建2个表。PermissionItem表用于保存权限ID和页面路径的关系，一个权限ID可以有多个页面，一般同一个权限ID下的页面是为了实现同一个功能。PermissionList表用于保存用户所具有的权限。

USE [UrlAuthorize]

GO

/****** Object:  Table [dbo].[PermissionList]    Script Date: 07/07/2009 00:07:10 ******/

SET ANSI_NULLS ON

GO

SET QUOTED_IDENTIFIER ON

GO

CREATE TABLE [dbo].[PermissionList](

    [ID] [int] IDENTITY(1,1) NOT NULL,

    [PermissionID] [int] NOT NULL,

    [UserID] [int] NOT NULL,

 CONSTRAINT [PK_PermissionList] PRIMARY KEY CLUSTERED 

(

    [ID] ASC

)WITH (PAD_INDEX  = OFF, STATISTICS_NORECOMPUTE  = OFF, IGNORE_DUP_KEY = OFF, ALLOW_ROW_LOCKS  = ON, ALLOW_PAGE_LOCKS  = ON) ON [PRIMARY]

) ON [PRIMARY]

GO

SET IDENTITY_INSERT [dbo].[PermissionList] ON

INSERT [dbo].[PermissionList] ([ID], [PermissionID], [UserID]) VALUES (1, 2, 1)

INSERT [dbo].[PermissionList] ([ID], [PermissionID], [UserID]) VALUES (2, 3, 1)

SET IDENTITY_INSERT [dbo].[PermissionList] OFF

/****** Object:  Table [dbo].[PermissionItem]    Script Date: 07/07/2009 00:07:10 ******/

SET ANSI_NULLS ON

GO

SET QUOTED_IDENTIFIER ON

GO

SET ANSI_PADDING ON

GO

CREATE TABLE [dbo].[PermissionItem](

    [ID] [int] IDENTITY(1,1) NOT NULL,

    [PermissionID] [int] NOT NULL,

    [Name] [nvarchar](50) NOT NULL,

    [Route] [varchar](100) NOT NULL,

 CONSTRAINT [PK_PermissionItem] PRIMARY KEY CLUSTERED 

(

    [ID] ASC

)WITH (PAD_INDEX  = OFF, STATISTICS_NORECOMPUTE  = OFF, IGNORE_DUP_KEY = OFF, ALLOW_ROW_LOCKS  = ON, ALLOW_PAGE_LOCKS  = ON) ON [PRIMARY]

) ON [PRIMARY]

GO

SET ANSI_PADDING OFF

GO

SET IDENTITY_INSERT [dbo].[PermissionItem] ON

INSERT [dbo].[PermissionItem] ([ID], [PermissionID], [Name], [Route]) VALUES (1, 1, N'测试页1', N'/Test/Page1')

INSERT [dbo].[PermissionItem] ([ID], [PermissionID], [Name], [Route]) VALUES (2, 2, N'测试页2', N'/Test/Page2')

INSERT [dbo].[PermissionItem] ([ID], [PermissionID], [Name], [Route]) VALUES (3, 3, N'测试页3', N'/Test/Page3')

INSERT [dbo].[PermissionItem] ([ID], [PermissionID], [Name], [Route]) VALUES (5, 1, N'测试页4', N'/Test/Page4')

INSERT [dbo].[PermissionItem] ([ID], [PermissionID], [Name], [Route]) VALUES (6, 2, N'测试页5', N'/Test/Page5')

SET IDENTITY_INSERT [dbo].[PermissionItem] OFF

数据库中的示例表示Page1和Page4同属于权限1，Page2和Page5同属于权限2，Page3属于权限3。用户ID为1的用户具有权限2和3。

在ASP.NET MVC项目中新建一个AccountHelper类，这是一个辅助类。GetPermissionItems方法用于获取权限ID和页面路径的对应关系。这是全局的，并且每个用户在访问页面时都会用到这些信息，所以存入Cache中。数据库的相关操作这里使用的是ADO.NET Entity Framework。

 1/// <summary>

 2/// 获取权限项

 3/// </summary>

 4/// <returns>权限项列表</returns>

 5public static List<PermissionItem> GetPermissionItems()

 6{

 7     // 如果缓存中已经存在权限列表信息，则直接从缓存中读取。

 8      if (HttpContext.Current.Cache["PermissionItems"] == null)

 9     {

10          // 如果缓存中没有权限列表信息，则从数据库获取并写入缓存

11           UrlAuthorizeEntities db = new UrlAuthorizeEntities();

12          var items = db.PermissionItem.Where(c => c.PermissionID > 0).ToList();

13          HttpContext.Current.Cache["PermissionItems"] = items;

14     }

15

16     // 这个缓存中保存了所有需要进行权限控制的页面所对应的权限ID

17     return (List<PermissionItem>)HttpContext.Current.Cache["PermissionItems"];

18}

19

GetUserPermission方法是将用户所具有的权限ID保存到一个一维Int32数组中。这个信息每个用户是不同的，但是会经常使用到，所以存入Session。

 1/// <summary>

 2/// 获取用户权限

 3/// </summary>

 4/// <param name="userID">用户ID</param>

 5/// <returns>用户权限数组</returns>

 6public static Int32[] GetUserPermission(int userID)

 7{

 8    // 如果缓存中已经存在权限列表信息，则直接从缓存中读取。

 9    if (HttpContext.Current.Session["Permission"] == null)

10    {

11        // 从数据库获取用户权限并将权限ID放到int数组并存入Session

12        UrlAuthorizeEntities db = new UrlAuthorizeEntities();

13        var permissions = db.PermissionList.Where(c => c.UserID == userID).Select(c=>c.PermissionID).ToArray();

14        HttpContext.Current.Session["Permission"] = permissions;

15    }

16    return (Int32[])HttpContext.Current.Session["Permission"];

17}

18

再新建一个UrlAuthorizeAttribute类，继承自AuthorizeAttribute，这是一个Filter。我们重写它的OnAuthorization方法，以在ASP.NET页生命周期身份验证阶段执行它。

 1/// <summary>

 2/// 重写OnAuthorization

 3/// </summary>

 4/// <param name="filterContext"></param>

 5public override void OnAuthorization(AuthorizationContext filterContext)

 6{

 7    // 获取权限项列表

 8    List<PermissionItem> pItems = AccountHelper.GetPermissionItems();

 9

10    // 获取当前访问页面对应的权限ID。如果item为空则表示当前页面没有权限控制信息，不需要进行权限控制

11    var item = pItems.FirstOrDefault(c => c.Route == filterContext.HttpContext.Request.Path);

12

13    if (item != null)

14    {

15        if (Array.IndexOf<Int32>(AccountHelper.GetUserPermission(int.Parse(filterContext.HttpContext.Session["UserID"].ToString())), item.PermissionID) == -1)

16        {

17            // 提示权限不够，也可以跳转到其他页面

18            filterContext.HttpContext.Response.Write("没有权限访问该页面");

19            filterContext.HttpContext.Response.End();

20        }

21    }

22    else

23    {

24        // 如果权限项列表中不存在当前页面对应的权限ID则所有用户都不允许访问，直接提示无权访问。***注1***

25        filterContext.HttpContext.Response.Write("没有权限访问该页面");

26        filterContext.HttpContext.Response.End();

27    }

28}

29

至此，主要的工作都已经完成了的。接下来我们只需要在需要进行权限控制的Action或Controller前加上[UrlAuthorize]，这些Action或Controller中的所有Actions就会自动被UrlAuthorize这个Filter进行处理。如果某一个Action被标上了[UrlAuthorize]，而数据库中又不存在该页面对应的权限ID，那么根据示例的代码，所有用户都将无法访问这个页面，如果需要更改这个设置，可以修改上面“注1”下面的2行代码。

示例代码下载

在ASP.NET MVC中实现基于URL的权限控制的更多相关文章

1. 在ASP.NET MVC 中获取当前URL、controller、action 、参数

   URL的获取很简单,ASP.NET通用:[1]获取 完整url (协议名+域名+虚拟目录名+文件名+参数) string url=Request.Url.ToString(); [2]获取 虚拟目录名 ...

2. springboot整合security实现基于url的权限控制

   权限控制基本上是任何一个web项目都要有的,为此spring为我们提供security模块来实现权限控制,网上找了很多资料,但是提供的demo代码都不能完全满足我的需求,因此自己整理了一版. 在上代码 ...

3. 基于 URL 的权限控制

   先不用框架,自己实现一下 数据库 /* SQLyog v10.2 MySQL - 5.1.72-community : Database - shiro *********************** ...

4. 在ASP.NET MVC 中获取当前URL、controller、action

   一.URL的获取很简单,ASP.NET通用: [1]获取 完整url (协议名+域名+虚拟目录名+文件名+参数) string url=Request.Url.ToString(); [2]获取 虚拟 ...

5. asp.net MVC中获取当前URL/Controller/Action

   一.获取URL(ASP.NET通用): [1]获取完整url(协议名+域名+虚拟目录名+文件名+参数) string url=Request.Url.ToString(); [2]获取虚拟目录名+页面 ...

6. 在ASP.NET MVC 中获取当前URL、controller、action(转)

   URL的获取很简单,ASP.NET通用: [1]获取 完整url (协议名+域名+虚拟目录名+文件名+参数) string url=Request.Url.ToString(); [2]获取 虚拟目录 ...

7. 如何在ASP.NET MVC 中获取当前URL、controller、action

   一.URL的获取很简单,ASP.NET通用: [1]获取 完整url (协议名+域名+虚拟目录名+文件名+参数) string url=Request.Url.ToString(); [2]获取 虚拟 ...

8. 在ASP.NET MVC中使用Knockout实践04，控制View Model的json格式内容

   通常,需要把View Model转换成json格式传给服务端.但在很多情况下,View Model既会包含字段,还会包含方法,我们只希望把字段相关的键值对传给服务端. 先把上一篇的Product转换成 ...

9. MVC中AuthorizeAttribute用法并实现权限控制

   1.创建一个类(用来检查用户是否登录和用户权限)代码如下: public class AuthorizeFilterAttribute: AuthorizeAttribute    { //Autho ...

随机推荐

1. 【摘】BPMN2.0-概要

   BPMN2.0-概要   原文地址:http://www.uml.org.cn/workclass/201206272.asp 作者:AliKevin2011,发布于2012-6-27   一.BPM ...

2. LeetCode - 50. Pow(x, n)

   50. Pow(x, n) Problem's Link ----------------------------------------------------------------------- ...

3. 【Tyvj 1060】【NOIP 2005】等价表达式

   设a为一个质数,模数为另一个质数,然后暴力算多项式的答案,如果答案相等就认为两个多项式相等. 这种hash有出错概率的题为什么还是要用hash呢?因为出错的概率实在太小了,a和模数的值取得好出题人根本 ...

4. android界面横屏和竖屏的切换

   关于android横屏和竖屏的切换网上给了很多种.但是有些介绍的方法都是在android旧版本上. 我现在把握用到的情况写下来用于备忘: android 版本:4.0 - 4.4 要求:android ...

5. 3. sort命令

   转自:http://www.cnblogs.com/51linux/archive/2012/05/23/2515299.html sort是在Linux里非常常用的一个命令,管排序的,集中精力,五分 ...

6. ODS浅谈

   ODS和DW 根据Bill.Inmon的定义,“数据仓库是面向主题的.集成的.稳定的.随时间变化的,主要用于决策支持的数据库系统”  : ODS (Operational Data Store)操作型 ...

7. mysql中的longblob类型处理

   longblob 对应的 C#数据类型为 byte[] 1.byte[] 与 string 之间的转换 byte[] bb = Encoding.UTF8.GetBytes(ss); string s ...

8. poj 2049 Finding Nemo(优先队列+bfs)

   题目:http://poj.org/problem?id=2049 题意: 有一个迷宫,在迷宫中有墙与门 有m道墙,每一道墙表示为(x,y,d,t)x,y表示墙的起始坐标d为0即向右t个单位,都是墙d ...

9. 使用fat jar和exe4j把java程序打包成exe执行文件---转载的

   java应用编写测试好之后都是jar包或class文件,客户拿到这个东西后一般是不会java开发者那样在命令窗口下面输入运行的.客户要求的就是直接点击应用名称运行.java在方面做得很不友好,开发人员 ...

10. Linux下可以ping ip地址但无法ping域名解决方法

    分析:当前系统无法解决域名至ip地址故障. 步骤阅读 2 三:解决过程: 1.分析dns故障: 2.物理机可以ping 地址,但无法ping域名: 3.检查/etc/resolv.conf: 注: ( ...