自定义用户访问权限

最新推荐文章于 2022-01-25 16:22:51 发布
最新推荐文章于 2022-01-25 16:22:51 发布
阅读量1.7k 收藏 1
点赞数
分类专栏: 工程开发 文章标签: session 数据库 server string object null
在实际的开发当中,我们经常会涉及到权限访问等问题。在很多开发当中有些程序员喜欢用Request.ServerVariables[“Script_Name”]来得到路径,然后再根据Session中的值来判断有没有访问权限,这种方法不好的地方在于页面的路径不能随意的改变,不然造成的工作量非常的大。
        本方法主要是基于 RBAC (基于角色的访问控制),现写出主要的步骤
         1. 创建表(模块表、角色表、角色权限设置表、用户表)

      角色表:TbRole

      字段         类型     大小      约束         描述

       ModuleID         SMALLINT                           主键,不为空       模块编号

       ModuleName           VARCHAR       30                  唯一,不为空       模块中文名称

       ModuleEName       VARCHAR       30                  唯一,不为空       模块英文名字

      

              角色表:TbRole

              字段                     类型              大小              约束                     描述

              RoleID                     SMALLINT                          主键,不为空    角色编号

              RoleName              VARCHAR       20                  唯一,不为空    角色名称

              RoleDesc               VARCHAR       100                                            角色描述

             

              角色权限设置表:TbRoleSet

              字段                     类型              大小              约束                     描述

              RoleSetID              SMALLINT                          主键,不为空    角色设置编号

              RoleID                     SMALLINT                          引用TbRole       角色编号

              ModuleID              SMALLINT                          引用TbModule 模块编号

             

     用户表:TbUser

     字段                     类型              大小              约束                     描述

     UserName        VARCHAR       20                  主键,不为空       用户名

     UserPassword           VARCHAR       10                  不为空                  密码

     UserRole                 SMALLINT                           引用TbRole表       角色

模块表是把系统的各个模块写在其中,然后在角色表中加入角色,再通过角色权限设置表把各个角色能访问的权限联系起来。
模块表:

角色表:

角色权限设置表:

从以上我们可以看出,总共有4个模块,两个角色,他们分别具有的权限为:
管理员(浏览、添加、修改、删除)   普通用户(浏览)
添加了角色以后,我们在添加用户时就可以设定角色了
参考图如下:

用户添加:

2. 用户控件
    数据库设置好了以后,接下来要想在什么地方进行身份检查
    因为整个网站的头应该是相同的,所以我们可以把验证信息放到一个用户控件中,以后只要把用户控件放到相应的网页即可
    但是每个网页都是不同的功能模块,我们怎么能保证用户控件能够动态的识别呢?
    接下来在用户控件中加入一个模块英文名字的属性

//  模块英文名称
private   string  moduleEName  =   "" ;

 /// <summary>
/// 模块英文名称属性
/// </summary>
public   string  ModuleEName
 {
    set {moduleEName = value;}
    get {return moduleEName;}
}

            这样的话只要在相应的网页中设置一下用户控件即可实现(注:ModuleEName要和数据库中的模块英文名相同),不设置即代表此页面不需要验证
            如:
            浏览模块页面:
             < uc1:top id="Top1" runat="server" ModuleEName="ViewBook"></uc1:top>
            添加模块页面:
             < uc1:top id="Top1" runat="server" ModuleEName="AddBook"></uc1:top>
            修改模块页面:
             < uc1:top id="Top1" runat="server" ModuleEName="EditBook"></uc1:top>
            删除模块页面:
             < uc1:top id="Top1" runat="server" ModuleEName="DeleteBook"></uc1:top>
            
            3. 身份验证    
            在用户控件中,只读取到英文模块名是无法判断权限的,所以在登录中,一定要把登录的角色用Session保存下来(如:Session["UserRole"])
            那么,既然可以得到正在登录的用户的角色,也可以得到此模块的名称,那么当然可以到数据库中看是否有权限了
            参考代码如下:
           
private   void  Page_Load( object  sender, System.EventArgs e)
 {
    if (!IsPostBack)
    {
        // 模块名称等于空,代表不需要进行验证
        // 只有在模块名称不为空时,才进行权限验证
        if (moduleEName != "")
        {
            // Session为空,禁止登录,防止非登录用户
            if (Session["UserRole"== null || Session["UserRole "].ToString() == "")
                Response.Redirect("提示页面");
                    
            try
            {

                // 连接数据库
                ……
                // 根据模块英文名称和角色ID进行查选
                SqlCommand sqlCmd = new SqlCommand("SELECT RoleSetID FROM TbModule a,TbRoleSet b WHERE 
a.ModuleID=b.ModuleID AND ModuleEName='" +  moduleEName + "' AND RoleID=" + Session["UserRole "].ToString() + "",sqlCon);
                sqlCon.Open();

                sqlDr = sqlCmd.ExecuteReader();

                // 返回有记录说明有权限,否则没有权限访问该模块
                if (!sqlDr.HasRows)
                {
                    Response.Redirect("提示页面");
                }
            }
            catch{}
            finally
            {
                // 释放
                ……

            }
        }
    }
}

 

http://cj.cnblogs.com/archive/2006/06/09/421353.html

控制用户访问--用户和权限
hellowheat的专栏
05-27 1458
控制用户访问        在多用户环境中,要维护数据库访问和使用的安全性。通过Oracle服务器数据库安全性,可以执行以下任务:     1.控制数据库访问     2.授予对数据库中特定对象的访问权限     3.通过Oracle数据字典确认给定的和接收的权限     4.为数据库对象创建同义词        数据库的安全性可以分为以下两类:系统安全性和数据安全性。系统安全性包括在系统级别上对
权限管理——用户认证和用户授权
热门推荐
许小乖……是总攻
07-16 2万+
因为做了权限的项目经理,so,恶补一下一个权限框架:shiro。其实作为框架首要目标是易于使用和理解。安全有时候是很复杂的,甚至是痛苦的,但框架没有必要这样。框架应该尽可能掩盖复杂的地方,露出一个干净而直观的API,来简化开发人员在使他们的应用程序安全上的努力。             Apche Shiro就是一个强大而灵活的开源安全框架,它干净利落地处理身份认证,授权,企业会话管理和加密。说
权限访问自动和自定义
weixin_45484641的博客
08-07 145
1.shiro的认识 shiro 它是Apache下面一个安全的权限框架,它是轻量级的 shiro功能:身份认证(登录) 和 授权(权限) 和 会话管理 和密码学 2.shiro的练习 (1)配置shiro.ini的模式 – 测试 底层默认找IniRealm (2)自定义的Realm的模式 – 我们需要告诉SecurityManager 安全的管理器维护起来(身份认证和授权) 3 shiro整...
用户访问
Blog_inG的博客
10-09 556
大多数的的web应用程序采用三层相互关联的安全机制处理用户访问。 身份认证 一般采用用户名与密码进行身份认证,如果是较高的安全级别的应用程序可能会采用其他证书和多阶段登陆来强化身份认证,如果安全级别更高,可能会采用客户端证书,智能卡,质询响应令牌,使用其他身份验证模型。一般会包括注册,密码修改,账号恢复等功能。 会话管理 处理用户访问的下一逻辑阶段是管理通过身份认证的用户,通过身份认证之后
自动化用户特定实体的访问控制
最佳 Java 编程
06-10 100
实际上,每个Web应用程序都应该有多个用户,每个用户都有一些数据-帖子,文档,消息等等。 最明显的事情是保护这些实体免遭非这些资源合法所有者的用户获取。 不幸的是,这不是最容易的事情。 我并不是说很难,它不像简单地返回资源那样直观。 当您是/record/{recordId}端点时,您将立即执行对recordId的数据库查询。 只有这样,才需要检查此记录是否属于当前经过身份验证的用户。 ...
Java中的访问控制权限
weixin_34234823的博客
02-04 165
简介 Java中为什么要设计访问权限控制机制呢?主要作用有两点: (1)为了使用户不要触碰那些他们不该触碰的部分,这些部分对于类内部的操作时必要的,但是它并不属于客户端程序员所需接口的一部分。 (2)为了让类库设计者可用更改类的内部工作方式,而不必担心会对用户造成重大影响。   Java中的访问权限控制的等级,按照权限从大到小依次为: Public -&gt; protected -&...
jquery无刷新分页
akun8717的博客
03-16 136
希望有机会能和大家一起交流学习,220897863程序员之家群欢迎大家加入 在现在的项目中使用jquery实现无刷新的分页,数据库采用存储过程进行分页,具体代码就不说了,主要看前段的实现 PageChage.ascx是一个分页用户控件,可以将它直接拖动到页面中使用。以下是html源码,包含一个分页的js和导航div <script src="/Comm...
华三交换机的用户权限设置
qq_42906357的博客
01-25 2万+
华三交换机的用户权限设置 权限 说明 security-audit 安全日志管理员(系统中的最后一个安全日志管理员角色的本地用户不可被删除,重新创建一个登陆账号解决问题) network-admin 具有最高权限,可操作系统所有功能和资源(除安全日志文件管理相关命令外) network-operator 可执行系统所有功能和资源的相关display命令(除安全日志等查看命令外) level-0 可执行命令ping、tracert、ssh2、telnet和super,且管理员可以为
自定义权限
zhangquanit的专栏
02-04 2093
一、权限 权限有两个作用: 其一:防止其它程序随便调用。 其二:能够在安装程序时,显式的给用户看,当前要安装的这个程序要用到哪个功能。这个是最重要的,试想,如果你装一个斗地主游戏,却看到要用到打电话、发短信的功能,便可以判定这个程序里面可能包含恶意代码,还是不装为好。 下面以打电话为例,来讲解一下系统对权限的要求: 一般情况下,要调用打电话的Activity,代码是这样写的: Uri
SpringSecurity授权(访问控制)
wyy的博客
10-30 6397
一、 访问控制url匹配 在前面讲解了认证中所有常用配置,主要是对httpSecurity.formLogin()进行操作。而在配置类中httphttpSecurity.authorizeRequests()主要是对url进行控制,也就是我们所说的授权(访问控制)。httpSecurity.authorizeRequests()也支持连缀写法,可以有很多url匹配规则和很多权限控制方法。这些内容进行各种组合就形成了Spring Security中的授权。 在所有匹配规则中取所有规则的交集。配置顺序影响了之
springboot整合spring security(一) :身份认证,自定义用户授权管理
xiaoping__的博客
10-15 2445
文章目录springboot整合spring security使用UserDetailsService 身份认证前端html数据库1.导入security的启动依赖2.创建Customer(用户信息)、Authority(用户权限) 两个实体类3.创建查询接口CustomerRepository、AuthorityRepository4.创建RedisConfig类5.添加CustomerService业处理类 (查询用户信息和权限)6.自定义接口实现类UserDetailsServiceImpl 进
Spring boot 用户自定义访问控制,自定义登录页面,退出,用户信息获取
文轩
05-16 759
用户自定义访问控制,自定义登录页面,退出,用户信息获取 问题 1. 在访问页面时没有css样式 http.authorizeRequests() .antMatchers("/css/**", "/img/**", "/fonts/**", "/js/**").permitAll() .anyRequest().authenticated(); 2. 使用Security 认证,ajax 通过 post 提交数据时报错 403
如何解决MathType兼容Office 2016/PowerPoint 2016
键盘上跳舞的精灵
06-12 1万+
现在MathType的用户越来越多,使用它可以很方便地编辑公式,但是有朋友发现MathType与Office 2016不能够很好好兼容,那么怎样能够使MathType兼容Office 2016呢? 可用于Office 2013&2016的是Mathtype 6.9简体中文版,下载地址:http://www.mathtype.cn/xiazai.html 当2016用户安装上述提供的Math...
基于角色访问控制(RBAC)的自定义权限管理系统
weixin_33811539的博客
07-05 1250
1.开发人员在设计和实现系统时,关联资源和操作,并创造权限;2.管理员可以为用户分配权限;3.用户使用权限。 createtableUsers(IDintidentity(1,1)primarykey,UserNamevarchar(16),Passwordbinary(16));createtableRoles(IDintidentity...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值