【无私分享:从入门到精通ASP.NET MVC】从0开始,一起搭框架、做项目(6) 控制器基类 主要做登录用户、权限认证、日志记录等工作
2016-05-25 09:18
786 查看
声明:本系列为原创,分享本人现用框架,未经本人同意,禁止转载!http://yuangang.cnblogs.com
希望大家好好一步一步做,所有的技术和项目,都毫无保留的提供,希望大家能自己跟着做一套,[b][b]还有,请大家放心,只要大家喜欢,有人需要,绝对不会烂尾,我会坚持写完~[/b][/b]
如果你感觉文章有帮助,点一下推荐,让更多的朋友参与进来,也是对本人劳动成果的鼓励,谢谢大家!由于还要工作,所以基本都是牺牲午休时间来写博客的,写博客呢不是简单的Ctrl+C、Ctrl+V,我是要挨着做一遍的,这也是对大家负责,所以有些时候更新不及时,或者问题没有及时解答,希望大家谅解,再次感谢大家!!
因为我引用了许多以前积累的类库,所以有些东西是重复的(后来更新),有些东西是过时的,包括我写的代码,希望大家不要纯粹的复制,取其精华去其糟粕>_<。
在项目最后我会把每个部分、每个阶段的Demo提供下载给大家,其实,如果跟着做完,并且剔除掉了我代码不好的地方,你也不需要这些Demo了,是吧~
索引
【无私分享:从入门到精通ASP.NET MVC】从0开始,一起搭框架、做项目(1)搭建MVC环境 注册区域
【无私分享:从入门到精通ASP.NET MVC】从0开始,一起搭框架、做项目(2)创建数据库和数据模型
【无私分享:从入门到精通ASP.NET MVC】从0开始,一起搭框架、做项目(3)公共基础数据操作类 RepositoryBase
【无私分享:从入门到精通ASP.NET MVC】从0开始,一起搭框架、做项目(4)对前面的一些问题汇总和总结
【无私分享:从入门到精通ASP.NET MVC】从0开始,一起搭框架、做项目(5.1) 登录功能的实现,开始接触Spring IOC、DI
【无私分享:从入门到精通ASP.NET MVC】从0开始,一起搭框架、做项目(5.2) 登录功能的实现,接口注入、log4net的使用
【无私分享:从入门到精通ASP.NET MVC】从0开始,一起搭框架、做项目(5.3) 登录功能的实现,丰富数据表、建立关联
【无私分享:从入门到精通ASP.NET MVC】从0开始,一起搭框架、做项目(5.4) 登录功能的实现,创建与登录用户相关的接口和实现类
【无私分享:从入门到精通ASP.NET MVC】从0开始,一起搭框架、做项目(5.5) 登录功能的实现,完善登录功能
简述
今天我们来写一个控制器基类 主要做登录用户、权限认证、日志记录等工作
项目准备
我们用的工具是:VS 2013 + SqlServer 2012 + IIS7.5
希望大家对ASP.NET MVC有一个初步的理解,理论性的东西我们不做过多解释,有些地方不理解也没关系,会用就行了,用的多了,用的久了,自然就理解了。
项目开始
很多朋友在前几篇都遇到 根节点 的问题,我把这几个xml先给大家贴一下
WebPage/Config下面三个XML
ComControllers.xml、IndexControllers.xml
View Code
这个用户容器 主要是用户后台用户的一些操作
2、根据模块操作Action 验证是否可操作按钮
这里我们分为两个打步骤:第一,前台按钮没有相应操作权限的,我们移除前台操作按钮。
第二,也是为了防止用户绕过前台验证,我们对后台模块以及方法进行验证,如果用户对相应的模块没有相应的操作权限(添加、修改、删除、审核、发布等等,包含自定义操作类型),我们拒绝执行。
网站的权限判断是一个非常普遍的需求,我们实现这样的需求只要从 AuthorizeAttribute 集成,重写相关的判断逻辑
我们新建一个权限验证类UserAuthorizeAttribute 继承 AuthorizeAttribute (关于AuthorizeAttribute 点击这里)
我们对添加一个自定义的Attribute,通过AttributeUsage的Attribute来限定Attribute 所施加的元素的类型
作为参数的AttributeTarges的值允许通过“或”操作来进行多个值得组合,如果你没有指定参数,那么默认参数就是All 。
AttributeUsage除了继承Attribute 的方法和属性之外,还定义了以下三个属性:
AllowMultiple: 读取或者设置这个属性,表示是否可以对一个程序元素施加多个Attribute 。
Inherited:读取或者设置这个属性,表示是否施加的Attribute 可以被派生类继承或者重载。
ValidOn: 读取或者设置这个属性,指明Attribute 可以被施加的元素的类型。
添加一些字段和属性,并且实例化基类
我们重写 AuthorizeAttribute 的 OnAuthorization(AuthorizationContext filterContext)方法
分为四步:
1、判断模块是否对应
2、判断用户是否存在
3、调用下面的方法,验证是否有访问此页面的权限,查看加操作
4、有权限访问页面,将此页面的权限集合传给页面
上面主要是对后台控制器方法操作权限的验证,有时候前台展示了比如 添加、删除功能,但是用户去操作的时候后台验证不通过会提示用户没有操作权限,这样显得不是很友好,我们返回个权限Json,前台按钮没有这个权限的我们就移除掉
模块去重
后面,我们就用到这个基类,我先给大家看一下这个权限认证在后台是如何使用的,加上这一句就OK了
错误:对不起,我犯错误了,好几个项目开着,混了。大家可能都遇到了
因为我没有添加用户的测试数据,所以这里一直没发现这个错误,这里很明显是没有注入 在Service.xml
原创文章 转载请尊重劳动成果 http://yuangang.cnblogs.com
希望大家好好一步一步做,所有的技术和项目,都毫无保留的提供,希望大家能自己跟着做一套,[b][b]还有,请大家放心,只要大家喜欢,有人需要,绝对不会烂尾,我会坚持写完~[/b][/b]
如果你感觉文章有帮助,点一下推荐,让更多的朋友参与进来,也是对本人劳动成果的鼓励,谢谢大家!由于还要工作,所以基本都是牺牲午休时间来写博客的,写博客呢不是简单的Ctrl+C、Ctrl+V,我是要挨着做一遍的,这也是对大家负责,所以有些时候更新不及时,或者问题没有及时解答,希望大家谅解,再次感谢大家!!
因为我引用了许多以前积累的类库,所以有些东西是重复的(后来更新),有些东西是过时的,包括我写的代码,希望大家不要纯粹的复制,取其精华去其糟粕>_<。
在项目最后我会把每个部分、每个阶段的Demo提供下载给大家,其实,如果跟着做完,并且剔除掉了我代码不好的地方,你也不需要这些Demo了,是吧~
索引
【无私分享:从入门到精通ASP.NET MVC】从0开始,一起搭框架、做项目(1)搭建MVC环境 注册区域
【无私分享:从入门到精通ASP.NET MVC】从0开始,一起搭框架、做项目(2)创建数据库和数据模型
【无私分享:从入门到精通ASP.NET MVC】从0开始,一起搭框架、做项目(3)公共基础数据操作类 RepositoryBase
【无私分享:从入门到精通ASP.NET MVC】从0开始,一起搭框架、做项目(4)对前面的一些问题汇总和总结
【无私分享:从入门到精通ASP.NET MVC】从0开始,一起搭框架、做项目(5.1) 登录功能的实现,开始接触Spring IOC、DI
【无私分享:从入门到精通ASP.NET MVC】从0开始,一起搭框架、做项目(5.2) 登录功能的实现,接口注入、log4net的使用
【无私分享:从入门到精通ASP.NET MVC】从0开始,一起搭框架、做项目(5.3) 登录功能的实现,丰富数据表、建立关联
【无私分享:从入门到精通ASP.NET MVC】从0开始,一起搭框架、做项目(5.4) 登录功能的实现,创建与登录用户相关的接口和实现类
【无私分享:从入门到精通ASP.NET MVC】从0开始,一起搭框架、做项目(5.5) 登录功能的实现,完善登录功能
简述
今天我们来写一个控制器基类 主要做登录用户、权限认证、日志记录等工作
项目准备
我们用的工具是:VS 2013 + SqlServer 2012 + IIS7.5
希望大家对ASP.NET MVC有一个初步的理解,理论性的东西我们不做过多解释,有些地方不理解也没关系,会用就行了,用的多了,用的久了,自然就理解了。
项目开始
很多朋友在前几篇都遇到 根节点 的问题,我把这几个xml先给大家贴一下
WebPage/Config下面三个XML
ComControllers.xml、IndexControllers.xml
<?xml version="1.0" encoding="utf-8" ?> <objects xmlns="http://www.springframework.net"> <description>Spring注入Service,容器指向本层层封装的接口,舍弃Dao层,减少代码量</description> <!--系统管理begin--> <!--用户管理--> <object id="Service.User" type="Service.ServiceImp.UserManage,Service" singleton="false"> </object> <!--系统管理end--> </objects>
View Code
一、我们在Controllers文件夹下新建一个控制器 BaseController, 用于控制器基类,主要做登录用户、权限认证、日志记录等工作
二、我们声明一些公共变量和容器
变量主要用于我们查询分页的时候用户传递关键字、页码和分页条数这个用户容器 主要是用户后台用户的一些操作
#region 公用变量 /// <summary> /// 查询关键词 /// </summary> public string keywords { get; set; } /// <summary> /// 视图传递的分页页码 /// </summary> public int page { get; set; } /// <summary> /// 视图传递的分页条数 /// </summary> public int pagesize { get; set; } /// <summary> /// 用户容器,公用 /// </summary> public IUserManage UserManage = Spring.Context.Support.ContextRegistry.GetContext().GetObject("Service.User") as IUserManage; #endregion
三、获取当前用户对象
从Sesssion中获取用户对象,Session过期后 通过 Cookies重新获取用户对象#region 用户对象 /// <summary> /// 获取当前用户对象 /// </summary> public Account CurrentUser { get { //从Session中获取用户对象 if (SessionHelper.GetSession("CurrentUser") != null) { return SessionHelper.GetSession("CurrentUser") as Account; } //Session过期 通过Cookies中的信息 重新获取用户对象 并存储于Session中 var account = UserManage.GetAccountByCookie(); SessionHelper.SetSession("CurrentUser", account); return account; } } #endregion
四、重写控制器 OnActionExecuting(ActionExecutingContext filterContext)方法 实现登录验证和公共变量的获取
protected override void OnActionExecuting(ActionExecutingContext filterContext)#region 登录用户验证 //1、判断Session对象是否存在 if (filterContext.HttpContext.Session == null) { filterContext.HttpContext.Response.Write( " <script type='text/javascript'> alert('~登录已过期,请重新登录');window.top.location='/'; </script>"); filterContext.RequestContext.HttpContext.Response.End(); filterContext.Result = new EmptyResult(); return; } //2、登录验证 if (this.CurrentUser == null) { filterContext.HttpContext.Response.Write( " <script type='text/javascript'> alert('登录已过期,请重新登录'); window.top.location='/';</script>"); filterContext.RequestContext.HttpContext.Response.End(); filterContext.Result = new EmptyResult(); return; } #endregion
#region 公共Get变量 //分页页码 object p = filterContext.HttpContext.Request["page"]; if (p == null || p.ToString() == "") { page = 1; } else { page = int.Parse(p.ToString()); } //搜索关键词 string search = filterContext.HttpContext.Request.QueryString["Search"]; if (!string.IsNullOrEmpty(search)) { keywords = search; } //显示分页条数 string size = filterContext.HttpContext.Request.QueryString["example_length"]; if (!string.IsNullOrEmpty(size) && System.Text.RegularExpressions.Regex.IsMatch(size.ToString(), @"^\d+$")) { pagesize = int.Parse(size.ToString()); } else { pagesize = 10; } #endregion
五、模块权限验证功能
规则:1、根据模块别名验证对应模块2、根据模块操作Action 验证是否可操作按钮
这里我们分为两个打步骤:第一,前台按钮没有相应操作权限的,我们移除前台操作按钮。
第二,也是为了防止用户绕过前台验证,我们对后台模块以及方法进行验证,如果用户对相应的模块没有相应的操作权限(添加、修改、删除、审核、发布等等,包含自定义操作类型),我们拒绝执行。
网站的权限判断是一个非常普遍的需求,我们实现这样的需求只要从 AuthorizeAttribute 集成,重写相关的判断逻辑
我们新建一个权限验证类UserAuthorizeAttribute 继承 AuthorizeAttribute (关于AuthorizeAttribute 点击这里)
public class UserAuthorizeAttribute : AuthorizeAttribute
我们对添加一个自定义的Attribute,通过AttributeUsage的Attribute来限定Attribute 所施加的元素的类型
作为参数的AttributeTarges的值允许通过“或”操作来进行多个值得组合,如果你没有指定参数,那么默认参数就是All 。
AttributeUsage除了继承Attribute 的方法和属性之外,还定义了以下三个属性:
AllowMultiple: 读取或者设置这个属性,表示是否可以对一个程序元素施加多个Attribute 。
Inherited:读取或者设置这个属性,表示是否施加的Attribute 可以被派生类继承或者重载。
ValidOn: 读取或者设置这个属性,指明Attribute 可以被施加的元素的类型。
[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, AllowMultiple = false)] public class UserAuthorizeAttribute : AuthorizeAttribute { }
添加一些字段和属性,并且实例化基类
#region 字段和属性 /// <summary> /// 模块别名,可配置更改 /// </summary> public string ModuleAlias { get; set; } /// <summary> /// 权限动作 /// </summary> public string OperaAction { get; set; } /// <summary> /// 权限访问控制器参数 /// </summary> private string Sign { get; set; } /// <summary> /// 基类实例化 /// </summary> public BaseController baseController = new BaseController(); #endregion
我们重写 AuthorizeAttribute 的 OnAuthorization(AuthorizationContext filterContext)方法
/// <summary> /// 权限认证 /// </summary> public override void OnAuthorization(AuthorizationContext filterContext) { }
分为四步:
1、判断模块是否对应
2、判断用户是否存在
3、调用下面的方法,验证是否有访问此页面的权限,查看加操作
4、有权限访问页面,将此页面的权限集合传给页面
//1、判断模块是否对应 if (string.IsNullOrEmpty(ModuleAlias)) { filterContext.HttpContext.Response.Write(" <script type='text/javascript'> alert('^您没有访问该页面的权限!'); </script>"); filterContext.RequestContext.HttpContext.Response.End(); filterContext.Result = new EmptyResult(); return; }
//2、判断用户是否存在 if (baseController.CurrentUser == null) { filterContext.HttpContext.Response.Write(" <script type='text/javascript'> alert('^登录已过期,请重新登录!');window.top.location='/'; </script>"); filterContext.RequestContext.HttpContext.Response.End(); filterContext.Result = new EmptyResult(); return; }
//对比变量,用于权限认证 var alias = ModuleAlias; #region 配置Sign调取控制器标识 Sign = filterContext.RequestContext.HttpContext.Request.QueryString["sign"]; if (!string.IsNullOrEmpty(Sign)) { if (("," + ModuleAlias.ToLower()).Contains("," + Sign.ToLower())) { alias = Sign; filterContext.Controller.ViewData["Sign"] = Sign; } } #endregion
//3、调用下面的方法,验证是否有访问此页面的权限,查看加操作 var moduleId = baseController.CurrentUser.Modules.Where(p => p.ALIAS.ToLower() == alias.ToLower()).Select(p => p.ID).FirstOrDefault(); bool _blAllowed = this.IsAllowed(baseController.CurrentUser, moduleId, OperaAction); if (!_blAllowed) { filterContext.HttpContext.Response.Write(" <script type='text/javascript'> alert('您没有访问当前页面的权限!');</script>"); filterContext.RequestContext.HttpContext.Response.End(); filterContext.Result = new EmptyResult(); return; }
//4、有权限访问页面,将此页面的权限集合传给页面 filterContext.Controller.ViewData["PermissionList"] = GetPermissByJson(baseController.CurrentUser, moduleId);
上面主要是对后台控制器方法操作权限的验证,有时候前台展示了比如 添加、删除功能,但是用户去操作的时候后台验证不通过会提示用户没有操作权限,这样显得不是很友好,我们返回个权限Json,前台按钮没有这个权限的我们就移除掉
/// <summary> /// 获取操作权限Json字符串,供视图JS判断使用 /// </summary> string GetPermissByJson(Account account, int moduleId) { //操作权限 var _varPerListThisModule = account.Permissions.Where(p => p.MODULEID == moduleId).Select(R => new { R.PERVALUE }).ToList(); return Common.JsonConverter.Serialize(_varPerListThisModule); }
/// <summary> /// 功能描述:判断用户是否有此模块的操作权限 /// </summary> bool IsAllowed(Account user, int moduleId, string action) { //判断入口 if (user == null || user.Id <= 0 || moduleId == 0 || string.IsNullOrEmpty(action)) return false; //验证权限 var permission = user.Permissions.Where(p => p.MODULEID == moduleId); action = action.Trim(','); if (action.IndexOf(',') > 0) { permission = permission.Where(p => action.ToLower().Contains(p.PERVALUE.ToLower())); } else { permission = permission.Where(p => p.PERVALUE.ToLower() == action.ToLower()); } return permission.Any(); }
模块去重
/// <summary> /// 模型去重,非常重要 /// add yuangang by 2016-05-25 /// </summary> public class ModuleDistinct : IEqualityComparer<Domain.SYS_MODULE> { public bool Equals(Domain.SYS_MODULE x, Domain.SYS_MODULE y) { return x.ID == y.ID; } public int GetHashCode(Domain.SYS_MODULE obj) { return obj.ToString().GetHashCode(); } }
后面,我们就用到这个基类,我先给大家看一下这个权限认证在后台是如何使用的,加上这一句就OK了
错误:对不起,我犯错误了,好几个项目开着,混了。大家可能都遇到了
因为我没有添加用户的测试数据,所以这里一直没发现这个错误,这里很明显是没有注入 在Service.xml
原创文章 转载请尊重劳动成果 http://yuangang.cnblogs.com
相关文章推荐
- 用OpenWrt编译Raspberry Pi 2 固件
- 微信扫码支付+Asp.Net MVC
- ASP.NET Web API 实现客户端Basic(基本)认证 之简单实现
- asp.net 有关时间各种(输出)处理
- asp.net 文件 操作方法
- raspberry pi wifi
- ASP.NET动态创建树
- Microsoft.AspNet.Identity.EntityFramework 源码
- MVC 问题集锦
- ASP.NET MVC 阻止当前请求的视图页面缓存OutputCache
- [ASP.NET MVC]: - EF框架学习手记
- ASP.NET MVC中默认Model Binder绑定Action参数为List、Dictionary等集合的实例
- @Aspect注解无效
- ModeScaleToFill、ModeScaleAspectFit、ModeScaleAspectFill
- ASP.NET 模糊查询参数化
- Aspose WorkSheet 自动适应行高
- OWASP十大热门威胁及其对应工具
- AspNet WebApi : MessageHandler(消息处理器 )
- asp.net mvc4 webapi request获取参数
- ASP.NET MVC学习系列(二)-WebAPI请求