在ASP.NET MVC中实现基于URL的权限控制

最新推荐文章于 2025-08-06 20:42:55 发布
最新推荐文章于 2025-08-06 20:42:55 发布
阅读量438 收藏 1
点赞数
CC 4.0 BY-SA版权
文章标签: asp.net mvc url insert statistics 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/mochabohe/article/details/6500860

本示例演示了在ASP.NET MVC中进行基于URL的权限控制,由于是基于URL进行控制的,所以只能精确到页。这种权限控制的优点是可以在已有的项目上改动极少的代码来增加权限控制功能,和项目本身的耦合度低,并且实现起来也比较简单。缺点是权限控制不够精确,不能具体到某一具体的按钮或者某一功能。

在数据库中新建2个表。PermissionItem表用于保存权限ID和页面路径的关系,一个权限ID可以有多个页面,一般同一个权限ID下的页面是为了实现同一个功能。PermissionList表用于保存用户所具有的权限。

 

Code

数据库中的示例表示Page1和Page4同属于权限1,Page2和Page5同属于权限2,Page3属于权限3。用户ID为1的用户具有权限2和3。

在ASP.NET MVC项目中新建一个AccountHelper类,这是一个辅助类。GetPermissionItems方法用于获取权限ID和页面路径的对应关系。这是全局的,并且每个用户在访问页面时都会用到这些信息,所以存入Cache中。数据库的相关操作这里使用的是ADO.NET Entity Framework。

 

 1/// <summary>
 2/// 获取权限项
 3/// </summary>
 4/// <returns>权限项列表</returns>
 5public static List<PermissionItem> GetPermissionItems()
 6{
 7     // 如果缓存中已经存在权限列表信息,则直接从缓存中读取。
 8      if (HttpContext.Current.Cache["PermissionItems"== null)
 9     {
10          // 如果缓存中没有权限列表信息,则从数据库获取并写入缓存
11           UrlAuthorizeEntities db = new UrlAuthorizeEntities();
12          var items = db.PermissionItem.Where(c => c.PermissionID > 0).ToList();
13          HttpContext.Current.Cache["PermissionItems"= items;
14     }
15
16     // 这个缓存中保存了所有需要进行权限控制的页面所对应的权限ID
17     return (List<PermissionItem>)HttpContext.Current.Cache["PermissionItems"];
18}
19

 

GetUserPermission方法是将用户所具有的权限ID保存到一个一维Int32数组中。这个信息每个用户是不同的,但是会经常使用到,所以存入Session。

 

 1/// <summary>
 2/// 获取用户权限
 3/// </summary>
 4/// <param name="userID">用户ID</param>
 5/// <returns>用户权限数组</returns>
 6public static Int32[] GetUserPermission(int userID)
 7{
 8    // 如果缓存中已经存在权限列表信息,则直接从缓存中读取。
 9    if (HttpContext.Current.Session["Permission"== null)
10    {
11        // 从数据库获取用户权限并将权限ID放到int数组并存入Session
12        UrlAuthorizeEntities db = new UrlAuthorizeEntities();
13        var permissions = db.PermissionList.Where(c => c.UserID == userID).Select(c=>c.PermissionID).ToArray();
14        HttpContext.Current.Session["Permission"= permissions;
15    }
16    return (Int32[])HttpContext.Current.Session["Permission"];
17}
18

 

再新建一个UrlAuthorizeAttribute类,继承自AuthorizeAttribute,这是一个Filter。我们重写它的OnAuthorization方法,以在ASP.NET页生命周期身份验证阶段执行它。

 

 1/// <summary>
 2/// 重写OnAuthorization
 3/// </summary>
 4/// <param name="filterContext"></param>
 5public override void OnAuthorization(AuthorizationContext filterContext)
 6{
 7    // 获取权限项列表
 8    List<PermissionItem> pItems = AccountHelper.GetPermissionItems();
 9
10    // 获取当前访问页面对应的权限ID。如果item为空则表示当前页面没有权限控制信息,不需要进行权限控制
11    var item = pItems.FirstOrDefault(c => c.Route == filterContext.HttpContext.Request.Path);
12
13    if (item != null)
14    {
15        if (Array.IndexOf<Int32>(AccountHelper.GetUserPermission(int.Parse(filterContext.HttpContext.Session["UserID"].ToString())), item.PermissionID) == -1)
16        {
17            // 提示权限不够,也可以跳转到其他页面
18            filterContext.HttpContext.Response.Write("没有权限访问该页面");
19            filterContext.HttpContext.Response.End();
20        }
21    }
22    else
23    {
24        // 如果权限项列表中不存在当前页面对应的权限ID则所有用户都不允许访问,直接提示无权访问。***注1***
25        filterContext.HttpContext.Response.Write("没有权限访问该页面");
26        filterContext.HttpContext.Response.End();
27    }
28}
29

 

至此,主要的工作都已经完成了的。接下来我们只需要在需要进行权限控制的Action或Controller前加上[UrlAuthorize],这些Action或Controller中的所有Actions就会自动被UrlAuthorize这个Filter进行处理。如果某一个Action被标上了[UrlAuthorize],而数据库中又不存在该页面对应的权限ID,那么根据示例的代码,所有用户都将无法访问这个页面,如果需要更改这个设置,可以修改上面“注1”下面的2行代码。

示例代码下载
 

本文适用于 ASP.NET MVC 1.0
mochabohe
关注
ASP.NET MVC实现权限管理以及权限分配
zhengjinwu123的博客
06-03 4416
权限管理与分配至少要有三张表 然而 往往难住我们的并不是数据库的设计而是后台的实现  //查询用户所具有的权限         public List Getprenisson(int userid) {             ptestEntities pst = new ptestEntities();                    string sql
ASP.NET系统用户权限设计与实现(转摘)
自强学堂
04-21 1785
引言    电子商务系统对安全问题有较高的要求,传统的访问控制方法DAC(Discretionary Access Control,自主访问控制模型)、MAC(Mandatory Access Control,强制访问控制模型)难以满足复杂的企业环境需求。因此,NIST(National Institute of Standards and Technology,美国国家标准化和技术委员会)于90
ASP.NET MVC 基于页面的权限管理
tomcat的专栏
07-06 6706
ASP.NET MVC 中运用AOP的思想(Filter)来实现页面级别的权限。
ASP.net MVC 基于角色的权限控制系统的实现
gz19871113的专栏
09-15 851
一、引言 我们都知道ASP.net mvc权限控制都是实现AuthorizeAttribute类的OnAuthorization方法。 下面是最常见的实现方式: public class CustomAuthorizeAttribute : AuthorizeAttribute { public override void OnAuthorization(AuthorizationContext filterContext) { i
ASP.NET MVC下限制同一个IP地址单位时间间隔内的请求次数
weixin_34088838的博客
01-08 940
有时候,当用户请求一个Controller下的Action,我们希望,在单位时间间隔内,比如每秒,每分钟,每小时,每天,每星期,限制同一个IP地址对某个Action的请求次数。如何做呢?   stefanprodan的MvcThrottle能很好地解决这个问题,以及其它类型的IP限制问题。在这里:https://github.com/stefanprodan/MvcThrottle 把项目从G...
ASP.NET实现MVC中获取当前URL、controller及action的方法
10-20
了解如何在ASP.NET MVC中获取这些信息对于开发过程中的调试、日志记录、权限控制以及其他与URL相关的功能至关重要。通过结合使用这些方法,开发者可以更好地理解应用程序的运行状态,并根据需要进行相应的处理。 在...
ASP.NET MVC中通过文件浏览,拖放和使用网络摄像头上传图像
04-07
ASP.NET MVC框架中,开发Web应用程序时,用户经常需要上传图像。这通常涉及通过文件浏览器选择文件,拖放操作,甚至使用网络摄像头实时捕捉。本文将深入探讨这些功能的实现,以帮助开发者构建功能丰富的交互式图像...
ASP.NET MVC权限管理系统源代码
09-07
在本资源中,"ASP.NET MVC权限管理系统源代码"是一个使用该框架开发的完整项目,旨在实现高效且精细的权限管理功能。 首先,ASP.NET MVC遵循模型-视图-控制器(MVC)设计模式,这是一种将业务逻辑、用户界面和数据...
ASP.NET MVC5网站开发之美+CMS范例源代码
01-08
8. **CMS范例**:CMS(内容管理系统)范例可能包含创建文章、分类、用户管理、权限控制等功能,展示了如何在ASP.NET MVC5中构建一个完整的网站系统,包括后台管理和前台展示部分。 9. **单元测试和持续集成**:ASP...
毕业设计:基于ASP.NET的内容管理系统(asp.net mvc.zip
10-11
ASP.NET MVC中,路由系统是连接URL到控制器和动作的关键部分。它允许开发者定义URL模式,使得URL更具有语义性,同时提高SEO效果。此外,ASP.NET MVC支持使用razor视图引擎来创建动态HTML,使得视图的编写更为简洁...
asp.net+sqlserver实现的简单高效的权限设计示例
01-01
大部分系统都有权限系统。一般来说,它能管控人员对某个否页面的访问;对某些字段、控件可见或者不可见。对gridview中的数据是否可删除、可添加、可新增等等。大部分人都把权限作为一个子系统独立出来。但是这里我不是想设计一个权限管理系统,网上的设计方案太多了,可以说每个开发人员都有自己的开发权限管理系统的想法和思路。 在这篇文章中,我先用简单的C#代码模仿一个用户的权限,再使用sql去模拟。这是一种很简单,很直观,很高效的方式去判定用户的权限。 C#: 好吧,先从最简单开始,定义一个用户(User)类,如下。 代码如下: class User { bool CanDelete; bool Can
ASP.NET系统用户权限设计与实现
10-22
ASP.NET系统用户权限设计与实现 针对一切用户权限设置的操作与制作步骤
asp.net 一个简易权限的小例子设计
jackyrongvip的专栏
05-12 197
  近日在阅读一本asp.net的书时(国人写的),其中提到了一个简易权限的小例子,感觉说的还是比较清楚,有点代表性,故在此简单介绍下其实现原理   其核心是建立起用户、角色,功能,模块功能四者的关系。数据库设计如下1 用户角色表  User表   字段:userid  自递增字段            username           password  RoleTable表(角色表)  字...
c#网页设计 UI —登录注册界面
热门推荐
yisandezhuiqiu的博客
02-02 1万+
打包了资源设置了下载积分 突然发现比较自己下载过人家的设置积分 自己真是设置的最低分(/捂脸 )——初出茅庐 多多指教 这几天学过了c#知识点 前段时间做了坦克大战  最近写了个极简易的界面—包括页面跳转 z 整个版面没有好好渲染、’排版       其实学习的进度挺赶  之后有时间再去修改使其美观 再加内容   先看一下登录的界面 输入账号后点击Bu
使用Forms Authentication实现用户注册、登录 (一)基础知识
半亩方塘
01-02 1361
前言  本来使用Forms Authentication进行用户验证的方式是最常见的,但系统地阐明其方法的文章并不多见,网上更多的文章都是介绍其中某一部分的使用方法实现原理,而更多的朋友则发文询问如何从头到尾完整第实现用户的注册、登录。因此,Anders Liu在这一系列文章中计划通过一个实际的例子,介绍如何基于Forms Authentication实现:l 用户注册(包括密码的加密存
ASP.NET MVC WebApi接口授权验证
weixin_30367945的博客
04-07 586
对于很任何多开发者来说,不管是使用任何一种框架,或者是使用任何一种语言,都要使用面向接口编程。使用面向接口编程的时候,那么就会有很多的权限验证,用户验证等等。 特别是对于一些系统来说,别人想要对接你的系统,同步系统数据,那么就必须要提供对外访问接口。当然,这对外接口也不是随随便便就提供的,对于一些机密数据,那么对于别人想要使用你的数据,那么必须按照一个标准来。我系统对外提供接口,想要用...
asp.net core mvc权限控制:分配权限
weixin_33766805的博客
07-03 187
1,分配权限到角色:Microsoft.AspNetCore.Identity.EntityFrameworkCore中提供了RoleManager类,类中提供了把权限分配到角色的方法:  Task<IdentityResult> AddClaimAsync(TRole role, Claim claim)  第一个参数表示对应的角色对象,第二个参数表示一个权限信...
企业级Web框架性能对决:Spring Boot、Django、Node.js与ASP.NET深度测评
最新发布
qq_44742109的博客
08-06 523
平均响应时间:从发送请求到接收完整响应的时间均值(包含网络延迟)吞吐量:每秒成功处理的请求数(Throughput = Completed Requests / Time)错误率:所有请求中返回非2xx状态码的比例(本次测试均<0.1%)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值