你的位置:首页 > ASP.net教程

[ASP.net教程]ASP.NET MVC:窗体身份验证及角色权限管理示例


ASP.NET MVC 建立 ASP.NET 基础之上,很多 ASP.NET 的特性(如窗体身份验证、成员资格)在 MVC 中可以直接使用。本文旨在提供可参考的代码,不会涉及这方面太多理论的知识。

本文仅使用 ASP.NET 的窗体身份验证,不会使用它的 成员资格(Membership) 和 角色管理 (RoleManager),原因有二:一是不灵活,二是和 MVC 关系不太。

一、示例项目

image

User.cs 是模型文件,其中包含了 User 类:

public class User{  public int ID { get; set; }  public string Name { get; set; }  public string Password { get; set; }  public string[] Roles { get; set; }}

UserRepository 为数据存取类,为了演示方便,并没有连接数据库,而是使用一个数组来作为数据源:

public class UserRepository{  private static User[] usersForTest = new[]{    new User{ ID = 1, Name = "bob", Password = "bob", Roles = new []{"employee"}},    new User{ ID = 2, Name = "tom", Password = "tom", Roles = new []{"manager"}},    new User{ ID = 3, Name = "admin", Password = "admin", Roles = new[]{"admin"}},  };  public bool ValidateUser(string userName, string password)  {    return usersForTest      .Any(u => u.Name == userName && u.Password == password);  }  public string[] GetRoles(string userName)  {    return usersForTest      .Where(u => u.Name == userName)      .Select(u => u.Roles)      .FirstOrDefault();  }  public User GetByNameAndPassword(string name, string password)  {    return usersForTest      .FirstOrDefault(u => u.Name == name && u.Password == password);  }}

二、用户登录及身份验证

方式一

修改 AccountController:原有 AccountController 为了实现控制反转,对窗体身份验证进行了抽象。为了演示方便,我去除了这部分(以及注册及修改密码部分):

public class AccountController : Controller{  private UserRepository repository = new UserRepository();    public ActionResult LogOn()  {    return View();  }  [HttpPost]  public ActionResult LogOn(LogOnModel model, string returnUrl)  {    if (ModelState.IsValid)    {      if (repository.ValidateUser(model.UserName, model.Password))      {        FormsAuthentication.SetAuthCookie(model.UserName, model.RememberMe);        if (!String.IsNullOrEmpty(returnUrl)) return Redirect(returnUrl);        else return RedirectToAction("Index", "Home");      }      else        ModelState.AddModelError("", "用户名或密码不正确!");    }    return View(model);  }  public ActionResult LogOff()  {    FormsAuthentication.SignOut();    return RedirectToAction("Index", "Home");  }}

修改 Global.asax:

public class MvcApplication : System.Web.HttpApplication{  public MvcApplication()  {    AuthorizeRequest += new EventHandler(MvcApplication_AuthorizeRequest);  }  void MvcApplication_AuthorizeRequest(object sender, EventArgs e)  {    IIdentity id = Context.User.Identity;    if (id.IsAuthenticated)    {      var roles = new UserRepository().GetRoles(id.Name);      Context.User = new GenericPrincipal(id, roles);    }  }  //...}

给 MvcApplication 增加构造函数,在其中增加 AuthorizeRequest 事件的处理函数。

方式二

此方式将用户的角色保存至用户 Cookie,使用到了 FormsAuthenticationTicket。

修改 AccountController:

public class AccountController : Controller{  private UserRepository repository = new UserRepository();    public ActionResult LogOn()  {    return View();  }  [HttpPost]  public ActionResult LogOn(LogOnModel model, string returnUrl)  {    if (ModelState.IsValid)    {      User user = repository.GetByNameAndPassword(model.UserName, model.Password);      if (user != null)      {        FormsAuthenticationTicket ticket = new FormsAuthenticationTicket(          1,          user.Name,          DateTime.Now,          DateTime.Now.Add(FormsAuthentication.Timeout),          model.RememberMe,          user.Roles.Aggregate((i,j)=>i+","+j)          );                  HttpCookie cookie = new HttpCookie(          FormsAuthentication.FormsCookieName,          FormsAuthentication.Encrypt(ticket));        Response.Cookies.Add(cookie);        if (!String.IsNullOrEmpty(returnUrl)) return Redirect(returnUrl);        else return RedirectToAction("Index", "Home");      }      else        ModelState.AddModelError("", "用户名或密码不正确!");    }    return View(model);  }  public ActionResult LogOff()  {    FormsAuthentication.SignOut();    return RedirectToAction("Index", "Home");  }}

修改 Global.asax:

public class MvcApplication : System.Web.HttpApplication{  public MvcApplication()  {    AuthorizeRequest += new EventHandler(MvcApplication_AuthorizeRequest);  }  void MvcApplication_AuthorizeRequest(object sender, EventArgs e)  {    var id = Context.User.Identity as FormsIdentity;    if (id != null && id.IsAuthenticated)    {      var roles = id.Ticket.UserData.Split(',');      Context.User = new GenericPrincipal(id, roles);    }  }  //...}

三、角色权限

使用任一种方式后,我们就可以在 Controller 中使用 AuthorizeAttribute 实现基于角色的权限管理了:

[Authorize(Roles = "employee,manager")]public ActionResult Index1(){  return View();}[Authorize(Roles = "manager")]public ActionResult Index2(){  return View();}[Authorize(Users="admin", Roles = "admin")]public ActionResult Index3(){  return View();}

四、简要说明

MVC 使用 HttpContext.User 属性进行来进行实现身份验证及角色管理,同样 AuthorizeAttribute 也根据 HttpContext.User 进行角色权限验证。

因些不要在用户登录后,将相关用户信息保存在 Session 中(网上经常看到这种做法),将用户保存在 Session 中是一种非常不好的做法。

也不要在 Action 中进行角色权限判断,应该使用 AuthorizeAttribute 或它的子类,以下的方式都是错误的:

public ActionResult Action1(){  if (Session["User"] == null) { /**/}  /**/}public ActionResult Action2(){  if (User.Identity == null) { /**/}  if (User.Identity.IsAuthenticated == false) { /**/}  if (User.IsInRole("admin") == false) { /**/}  /**/}