【无私分享：从入门到精通ASP.NET MVC】从0开始，一起搭框架、做项目（6） 控制器基类 主要做登录用户、权限认证、日志记录等工作

声明：本系列为原创，分享本人现用框架，未经本人同意，禁止转载！http://yuangang.cnblogs.com

希望大家好好一步一步做，所有的技术和项目，都毫无保留的提供，希望大家能自己跟着做一套，[b][b]还有，请大家放心，只要大家喜欢，有人需要，绝对不会烂尾，我会坚持写完~[/b][/b]

如果你感觉文章有帮助，点一下推荐，让更多的朋友参与进来，也是对本人劳动成果的鼓励，谢谢大家！由于还要工作，所以基本都是牺牲午休时间来写博客的，写博客呢不是简单的Ctrl+C、Ctrl+V，我是要挨着做一遍的，这也是对大家负责，所以有些时候更新不及时，或者问题没有及时解答，希望大家谅解，再次感谢大家！！

因为我引用了许多以前积累的类库，所以有些东西是重复的（后来更新），有些东西是过时的，包括我写的代码，希望大家不要纯粹的复制，取其精华去其糟粕>_<。

在项目最后我会把每个部分、每个阶段的Demo提供下载给大家，其实，如果跟着做完，并且剔除掉了我代码不好的地方，你也不需要这些Demo了，是吧~

索引

【无私分享：从入门到精通ASP.NET MVC】从0开始，一起搭框架、做项目（1）搭建MVC环境 注册区域

【无私分享：从入门到精通ASP.NET MVC】从0开始，一起搭框架、做项目（2）创建数据库和数据模型

【无私分享：从入门到精通ASP.NET MVC】从0开始，一起搭框架、做项目（3）公共基础数据操作类 RepositoryBase

【无私分享：从入门到精通ASP.NET MVC】从0开始，一起搭框架、做项目（4）对前面的一些问题汇总和总结

【无私分享：从入门到精通ASP.NET MVC】从0开始，一起搭框架、做项目（5.1） 登录功能的实现，开始接触Spring IOC、DI

【无私分享：从入门到精通ASP.NET MVC】从0开始，一起搭框架、做项目（5.2） 登录功能的实现，接口注入、log4net的使用

【无私分享：从入门到精通ASP.NET MVC】从0开始，一起搭框架、做项目（5.3） 登录功能的实现，丰富数据表、建立关联

【无私分享：从入门到精通ASP.NET MVC】从0开始，一起搭框架、做项目（5.4） 登录功能的实现，创建与登录用户相关的接口和实现类

【无私分享：从入门到精通ASP.NET MVC】从0开始，一起搭框架、做项目（5.5） 登录功能的实现，完善登录功能

简述

今天我们来写一个控制器基类 主要做登录用户、权限认证、日志记录等工作

项目准备

我们用的工具是：VS 2013 + SqlServer 2012 + IIS7.5

希望大家对ASP.NET MVC有一个初步的理解，理论性的东西我们不做过多解释，有些地方不理解也没关系，会用就行了，用的多了，用的久了，自然就理解了。

项目开始

很多朋友在前几篇都遇到 根节点 的问题，我把这几个xml先给大家贴一下

WebPage/Config下面三个XML

ComControllers.xml、IndexControllers.xml

<?xml version="1.0" encoding="utf-8" ?>
<objects xmlns="http://www.springframework.net">
<description>Spring注入Service，容器指向本层层封装的接口，舍弃Dao层，减少代码量</description>
<!--系统管理begin-->
<!--用户管理-->
<object id="Service.User" type="Service.ServiceImp.UserManage,Service" singleton="false">
</object>
<!--系统管理end-->
</objects>

View Code

一、我们在Controllers文件夹下新建一个控制器 BaseController， 用于控制器基类，主要做登录用户、权限认证、日志记录等工作

二、我们声明一些公共变量和容器

变量主要用于我们查询分页的时候用户传递关键字、页码和分页条数

这个用户容器 主要是用户后台用户的一些操作

#region 公用变量
/// <summary>
/// 查询关键词
/// </summary>
public string keywords { get; set; }
/// <summary>
/// 视图传递的分页页码
/// </summary>
public int page { get; set; }
/// <summary>
/// 视图传递的分页条数
/// </summary>
public int pagesize { get; set; }
/// <summary>
/// 用户容器，公用
/// </summary>
public IUserManage UserManage = Spring.Context.Support.ContextRegistry.GetContext().GetObject("Service.User") as IUserManage;
#endregion

三、获取当前用户对象

从Sesssion中获取用户对象，Session过期后 通过 Cookies重新获取用户对象

#region 用户对象
/// <summary>
/// 获取当前用户对象
/// </summary>
public Account CurrentUser
{
get
{
//从Session中获取用户对象
if (SessionHelper.GetSession("CurrentUser") != null)
{
return SessionHelper.GetSession("CurrentUser") as Account;
}
//Session过期 通过Cookies中的信息 重新获取用户对象 并存储于Session中
var account = UserManage.GetAccountByCookie();
SessionHelper.SetSession("CurrentUser", account);
return account;
}
}
#endregion

四、重写控制器 OnActionExecuting(ActionExecutingContext filterContext)方法 实现登录验证和公共变量的获取

protected override void OnActionExecuting(ActionExecutingContext filterContext)

#region 登录用户验证
//1、判断Session对象是否存在
if (filterContext.HttpContext.Session == null)
{
filterContext.HttpContext.Response.Write(
" <script type='text/javascript'> alert('~登录已过期，请重新登录');window.top.location='/'; </script>");
filterContext.RequestContext.HttpContext.Response.End();
filterContext.Result = new EmptyResult();
return;
}
//2、登录验证
if (this.CurrentUser == null)
{
filterContext.HttpContext.Response.Write(
" <script type='text/javascript'> alert('登录已过期，请重新登录'); window.top.location='/';</script>");
filterContext.RequestContext.HttpContext.Response.End();
filterContext.Result = new EmptyResult();
return;
}

#endregion

#region 公共Get变量
//分页页码
object p = filterContext.HttpContext.Request["page"];
if (p == null || p.ToString() == "") { page = 1; } else { page = int.Parse(p.ToString()); }

//搜索关键词
string search = filterContext.HttpContext.Request.QueryString["Search"];
if (!string.IsNullOrEmpty(search)) { keywords = search; }
//显示分页条数
string size = filterContext.HttpContext.Request.QueryString["example_length"];
if (!string.IsNullOrEmpty(size) && System.Text.RegularExpressions.Regex.IsMatch(size.ToString(), @"^\d+$")) { pagesize = int.Parse(size.ToString()); } else { pagesize = 10; }
#endregion

五、模块权限验证功能

规则：1、根据模块别名验证对应模块
2、根据模块操作Action 验证是否可操作按钮

这里我们分为两个打步骤：第一，前台按钮没有相应操作权限的，我们移除前台操作按钮。

第二，也是为了防止用户绕过前台验证，我们对后台模块以及方法进行验证，如果用户对相应的模块没有相应的操作权限（添加、修改、删除、审核、发布等等，包含自定义操作类型），我们拒绝执行。

网站的权限判断是一个非常普遍的需求，我们实现这样的需求只要从 AuthorizeAttribute 集成，重写相关的判断逻辑

我们新建一个权限验证类UserAuthorizeAttribute 继承 AuthorizeAttribute （关于AuthorizeAttribute 点击这里）

public class UserAuthorizeAttribute : AuthorizeAttribute

我们对添加一个自定义的Attribute，通过AttributeUsage的Attribute来限定Attribute 所施加的元素的类型

作为参数的AttributeTarges的值允许通过“或”操作来进行多个值得组合，如果你没有指定参数，那么默认参数就是All 。

AttributeUsage除了继承Attribute 的方法和属性之外，还定义了以下三个属性：

AllowMultiple: 读取或者设置这个属性，表示是否可以对一个程序元素施加多个Attribute 。

Inherited:读取或者设置这个属性，表示是否施加的Attribute 可以被派生类继承或者重载。

ValidOn: 读取或者设置这个属性，指明Attribute 可以被施加的元素的类型。

[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, AllowMultiple = false)]
public class UserAuthorizeAttribute : AuthorizeAttribute
{
}

添加一些字段和属性，并且实例化基类

#region 字段和属性
/// <summary>
/// 模块别名，可配置更改
/// </summary>
public string ModuleAlias { get; set; }
/// <summary>
/// 权限动作
/// </summary>
public string OperaAction { get; set; }
/// <summary>
/// 权限访问控制器参数
/// </summary>
private string Sign { get; set; }
/// <summary>
/// 基类实例化
/// </summary>
public BaseController baseController = new BaseController();

#endregion

我们重写 AuthorizeAttribute 的 OnAuthorization(AuthorizationContext filterContext)方法

/// <summary>
/// 权限认证
/// </summary>
public override void OnAuthorization(AuthorizationContext filterContext)
{
}

分为四步：

1、判断模块是否对应

2、判断用户是否存在

3、调用下面的方法，验证是否有访问此页面的权限，查看加操作

4、有权限访问页面，将此页面的权限集合传给页面

//1、判断模块是否对应
if (string.IsNullOrEmpty(ModuleAlias))
{
filterContext.HttpContext.Response.Write(" <script type='text/javascript'> alert('^您没有访问该页面的权限！'); </script>");
filterContext.RequestContext.HttpContext.Response.End();
filterContext.Result = new EmptyResult();
return;
}

//2、判断用户是否存在
if (baseController.CurrentUser == null)
{
filterContext.HttpContext.Response.Write(" <script type='text/javascript'> alert('^登录已过期，请重新登录！');window.top.location='/'; </script>");
filterContext.RequestContext.HttpContext.Response.End();
filterContext.Result = new EmptyResult();
return;
}

　　　　　　//对比变量，用于权限认证
var alias = ModuleAlias;

#region 配置Sign调取控制器标识
Sign = filterContext.RequestContext.HttpContext.Request.QueryString["sign"];
if (!string.IsNullOrEmpty(Sign))
{
if (("," + ModuleAlias.ToLower()).Contains("," + Sign.ToLower()))
{
alias = Sign;
filterContext.Controller.ViewData["Sign"] = Sign;
}
}
#endregion

//3、调用下面的方法，验证是否有访问此页面的权限，查看加操作
var moduleId = baseController.CurrentUser.Modules.Where(p => p.ALIAS.ToLower() == alias.ToLower()).Select(p => p.ID).FirstOrDefault();
bool _blAllowed = this.IsAllowed(baseController.CurrentUser, moduleId, OperaAction);
if (!_blAllowed)
{
filterContext.HttpContext.Response.Write(" <script type='text/javascript'> alert('您没有访问当前页面的权限！');</script>");
filterContext.RequestContext.HttpContext.Response.End();
filterContext.Result = new EmptyResult();
return;
}

//4、有权限访问页面，将此页面的权限集合传给页面
filterContext.Controller.ViewData["PermissionList"] = GetPermissByJson(baseController.CurrentUser, moduleId);

上面主要是对后台控制器方法操作权限的验证，有时候前台展示了比如 添加、删除功能，但是用户去操作的时候后台验证不通过会提示用户没有操作权限，这样显得不是很友好，我们返回个权限Json，前台按钮没有这个权限的我们就移除掉

/// <summary>
/// 获取操作权限Json字符串，供视图JS判断使用
/// </summary>
string GetPermissByJson(Account account, int moduleId)
{
//操作权限
var _varPerListThisModule = account.Permissions.Where(p => p.MODULEID == moduleId).Select(R => new { R.PERVALUE }).ToList();
return Common.JsonConverter.Serialize(_varPerListThisModule);
}

/// <summary>
/// 功能描述：判断用户是否有此模块的操作权限
/// </summary>
bool IsAllowed(Account user, int moduleId, string action)
{
//判断入口
if (user == null || user.Id <= 0 || moduleId == 0 || string.IsNullOrEmpty(action)) return false;
//验证权限
var permission = user.Permissions.Where(p => p.MODULEID == moduleId);
action = action.Trim(',');
if (action.IndexOf(',') > 0)
{
permission = permission.Where(p => action.ToLower().Contains(p.PERVALUE.ToLower()));
}
else
{
permission = permission.Where(p => p.PERVALUE.ToLower() == action.ToLower());
}
return permission.Any();
}

模块去重

/// <summary>
/// 模型去重，非常重要
/// add yuangang by 2016-05-25
/// </summary>
public class ModuleDistinct : IEqualityComparer<Domain.SYS_MODULE>
{
public bool Equals(Domain.SYS_MODULE x, Domain.SYS_MODULE y)
{
return x.ID == y.ID;
}

public int GetHashCode(Domain.SYS_MODULE obj)
{
return obj.ToString().GetHashCode();
}
}

后面，我们就用到这个基类，我先给大家看一下这个权限认证在后台是如何使用的，加上这一句就OK了



错误：对不起，我犯错误了，好几个项目开着，混了。大家可能都遇到了



因为我没有添加用户的测试数据，所以这里一直没发现这个错误，这里很明显是没有注入 在Service.xml



原创文章 转载请尊重劳动成果 http://yuangang.cnblogs.com