ASP.NET MVC4 自定义权限（角色）验证

开发系统的时候，两个基本的模块是少不了的，那就是 —— 身份验证 和权限。上一篇文章我们介绍了ASP.NET MVC 身份验证，今天我们来说一下权限管理。

1. 需求：

当普通用户 进行编辑、删除操作时，系统拒绝用户的访问，若访问为异步操作，则返回 JSON数据，给出提示消息（权限不足），若为同步操作，则跳转登录页。

2. 效果：

当我以普通用户身份（user）登陆后，进行删除操作，系统拒绝了我的操作，并将消息返回给了我。

下面我们一步步介绍一下是如何实现的。

3. 自定义实现的实现

3.1 代码效果

当我 希望 Create方法只能 管理员具有权限的创建的时候，在该方法 加上 这个特性。RoleAuthorize 是我们自定义 的权限过滤器，下一小节中将介绍它。将该特性放在 Action，将对请求进行过滤，不符合权限请求，将被筛选。

其实 权限过滤器 它也属于过滤器的范畴

3.2 实现原理

ASP.NET MVC 自定义权限控制，是通过 继承 AuthorizeAttribute 类来实现的。下面介绍一下 AuthorizeAttribute 的核心方法，需要我们进行复写，自定义。

1、OnAuthorization： 核心方法，权限过滤器的入口。

2、AuthorizeCore ： 核心验证方法，验证的自定义逻辑要放在这个方法里。

3、HandleUnauthorizedRequest ： 验证失败后，调用的处理方法，处理验证失败，放在这个方法里。

3.3 实现代码

下面是代码，在这儿简单介绍一下 自定义权限验证的逻辑。

1、 复写 OnAuthorization 方法，在该方法里 执行父类的OnAuthorization方法。（个人感觉可以省略）

2、复写 AuthorizeCore方法，上面已经介绍过了，这个方法里 描述的是核心验证逻辑，父类的

OnAuthorization 里 是调用了 AuthorizeCore 这个方法去 验证 是否具有权限的。

这里还涉及到了一点 多态 的 知识（我们在 复写 父类的方法后，父类执行 AuthorizeCore 的方法，是子类的AuthorizeCore 的方法）

3、父类的 OnAuthorization 在使用 子类AuthorizeCore 验证后，验证成功后，会让请求 继续向下执行，

如果失败，与上面同样的道理将会调用子类的HandleUnauthorizedRequest方法，去处理不具有权限

的请求。

上面介绍了原理，下面我简单说一下 是 如何自定义AuthorizeCore验证方法的，以及验证失败后是如

何去处理的HandleUnauthorizedRequest。

AuthorizeCore 验证方法思路：

在这个方法里首先 httpContext.Request.IsAuthenticated 进行身份验证，身份验证通过之后；

获取身份验证的Cookie 并将 我存在cookie里的用户信息，提取出来。（我存储了 用户名，角色，ID，头像等）

获取到用户信息之后，你允许什么样的用户通过呐？那就是你随意自定义了，比如说：我定义的允许就是 你的权限（RoleID）大于我设置的权限，那你就可以通过，否则我就返回false，而后就进入了 HandleUnauthorizedRequest方法。

HandleUnauthorizedRequest 验证失败请求处理 思路

如果未异步请求，使用 filterContext.Result返回Json 数据。

如果未同步请求，使用 base.HandleUnauthorizedRequest(filterContext) 父类的处理方法去解决就可以了（父类的处理方式是跳 登录页）

/// <summary>
/// 自定义权限（角色）验证
/// </summary>
public class RoleAuthorizeAttribute: AuthorizeAttribute
{
/// <summary>
/// 验证入口
/// </summary>
/// <param name="filterContext"></param>
public override void OnAuthorization(AuthorizationContext filterContext)
{
base.OnAuthorization(filterContext);
}

/// <summary>
/// 验证核心代码
/// </summary>
/// <param name="httpContext"></param>
/// <returns></returns>
protected override bool AuthorizeCore(HttpContextBase httpContext)
{
byte roleid = 0;
AdminModel loginUser = new AdminModel();
if (! httpContext.Request.IsAuthenticated)
{
//非异步请求，跳转登录页，异步请求则交给身份验证过滤器处理（代码在执行的时候，将先执行身份验证，也就是AuthorizeAttribute类，而后才会执行过滤器。 所以如果说，身份验证是通过 过滤器实现的话，这一步判断是必须的。）
if (!httpContext.Request.IsAjaxRequest())
{
FormsAuthentication.RedirectToLoginPage();//重定向会登录页
}
return false;//未登录返回 false
}
else
{
//登录状态获取用户信息
var cookie = httpContext.Request.Cookies[FormsAuthentication.FormsCookieName];
var ticket = FormsAuthentication.Decrypt(cookie.Value);
loginUser = new JavaScriptSerializer().Deserialize<AdminModel>(ticket.UserData);
roleid = FrameworkStatic.GetRoleID(this.Roles);
}
return IsAllow(loginUser.RoleID, roleid);
}

/// <summary>
/// 验证失败处理
/// </summary>
/// <param name="filterContext"></param>
protected override void HandleUnauthorizedRequest(AuthorizationContext filterContext)
{
if (filterContext.HttpContext.Request.IsAjaxRequest())
{
filterContext.Result = new JsonResult
{
Data = new
{
Status = -1,
Message = "权限不足,服务器已拒绝您的操作!"
},
JsonRequestBehavior = JsonRequestBehavior.AllowGet
};
}
else
base.HandleUnauthorizedRequest(filterContext);
return;
}

/// <summary>
/// 判断当前用户权限是否大于目标操作权限（权限向下兼容）
/// </summary>
/// <param name="currentRoleId">当前角色</param>
/// <param name="targetRoleId">目标角色</param>
/// <returns>是否允许</returns>
private bool IsAllow(byte currentRoleId,byte targetRoleId)
{
return currentRoleId >= targetRoleId;
}
}

参考博文

权限系统控制实现（推荐）

其他参考博文：

http://www.cnblogs.com/duanxian/p/5712680.html（重写无权限访问方法）

http://blog.csdn.net/gulijiang2008/article/details/8142000（大体思路）

http://www.cnblogs.com/landeanfen/p/5287064.html

http://blog.csdn.net/gulijiang2008/article/details/8142000