在ASP.NET 2.0中操作資料之二十三：基於使用者對修改資料進行限制_自學過程

導言

　　很多Web程式都支援使用者帳號，根據不同的登入使用者提供不同的選項，報表等功能。例如，就我們的教程中，我們要允許供應商公司的一些賬戶能登入網站並更新它們的產品－包括產品名稱和單價，或許還有供應商的資訊，比如它們的公司名稱，地址，以及連絡人資訊等等。此外，可能我們還想包含一些帳號留給我們自己公司使用者，以便讓它們能夠登入並進行產品資訊修改，比如股價，層級調整等等。我們的Web程式同時也可以允許匿名登入，但是僅僅讓這些使用者瀏覽資料。並包含一個系統使用者，通過對ASP.NET頁面中的資料控制項能夠進行資料的增，改，刪。

　　在這篇教程中，我們將考察如何動態地根據不同的訪問使用者來調整資料的修改能力。更進一步，我們建立一個頁面，通過一個可編輯的DetailsView來顯示供應商資訊，以及一個GridView控制項列出供應商提供的產品。如果訪問者來自我們公司，它們可以查看任何供應商資訊，編輯他們的地址，編輯任何一個供應商提供的產品資訊。然而，如果使用者來自某個具體某個公司，它們只能查看和修改他們自己公司的地址資訊，或者修改他們那些沒有缺貨的商品資訊。

圖1：一個來自我們公司的使用者可以編輯任何一個供應商資訊

圖2：一個來自某個供應商公司的他只能查看和編輯他們自己的資訊

讓我們開始吧！

　　注意：ASP.NET 2.0的MemberShip體系提供了一個可以建立，管理，驗證使用者帳號的標準的，可以擴充的平台。考慮到考察membership體系已經超出了本文的內容，本文將假設匿名使用者已經通過了membership體系，可以認為他們是來自一個具體的供應商或者是我們公司。有關更多membership的內容，可以參考我的 考察ASP.Net 2.0 的Membership, Roles, Profiles文章系列。

第一步： 允許使用者能夠指定他們的存取權限

　　在實際的Web應用程式中，一個使用者的帳號資訊已經包含了識別他們是來自我們公司或者供應商，而且這種資訊在使用者一登入之後便可以在ASP.NET中代碼訪問到。這個資訊可以通過ASP.NET 2.0的角色體系擷取，作為檔案系統或者其他業務上的使用者帳號資訊。

　　由於這篇教程是示範針對不同登入使用者調整資料修改的能力, 並不是要凸顯使用ASP.NET 2.0的membership，roles，和profile系統，我們會使用一種很簡單的機制來決定使用者訪問網頁的這種能力－通過一個下拉框，使用者可以選擇他們想要查看或修改任何一個供應商的資訊，或者是作為一個供應商，只能查看和修改自己的資訊。如果使用者使用預設的可以查看和修改任何供應商資訊，那麼她分頁查看所有的供應商，編輯他們的地址資訊，以及編輯選擇的某個供應商的產品的名字或者單價。如果選擇了只能查看和編輯某個供應商的資訊，那麼她只能查看這個供應商的產品具體資訊，更新那些沒有到期的產品的名稱和單價。

　　接下來我們將要建立一個DropDownList並給它填充系統供應商資訊資料。開啟EditInsertDelete檔案夾下的UserLevelAccess.aspx頁面，添加一個DropDownList控制項，設定它的ID屬性為Suppliers，並綁定到一個命名為AllSuppliersDataSource的ObjectDataSource控制項。

圖3：建立一個名為AllSuppliersDataSource的ObjectDataSource控制項

　　因為我們想要DropDownList顯示所有的供應商，我們配置ObjectDataSource調用SuppliersBLL類中的GetSuppliers()方法。同時確保控制項的Update()方法映射到SuppliersBLL類的UpdateSupplierAddress方法，而這個ObjectDataSource控制項將同時被下一步中的DetailsView控制項使用。完成ObjectDataSource的設定後，再完成設定Suppliers下拉框控制項，讓它的每個ListItem顯示資料成員為CompanyName，資料成員的值為SupplierID。

圖4：配置Suppliers DropDownList使用CompanyName和SupplierID資料成員

　　到這裡，這個DropDownList列出了資料庫中的所有供應商的名字。然而，我們還需要對下拉框添加一個“顯示/編輯所有供應商”的選項。可以通過設定Suppliers下拉框的AppendDataBoundItem屬性為true，並添加一個ListItem，設定它的Text屬性為“顯示/編輯所有供應商”，value屬性為-1來實現。這些可以通過直接聲明標記語言或者在屬性視窗的設計器中點擊下拉框的Item屬性來添加完成。

　　注意：可以回頭參考教程《使用DropDownList過濾的主/從報表 》獲得關於添加一個下拉框中“顯示所有”選項的詳細討論。通過設定AppendDataBoundItems屬性和添加ListItem後，這個DropDownList的聲明標記如下所示：

<asp:DropDownList ID="Suppliers" runat="server" AppendDataBoundItems="True"  DataSourceID="AllSuppliersDataSource" DataTextField="CompanyName"  DataValueField="SupplierID">  <asp:ListItem Value="-1">Show/Edit ALL Suppliers</asp:ListItem></asp:DropDownList>

圖5是一個當前在瀏覽器中操作的截圖。

　　圖5：包含一個“Show ALL”的ListItem的Suppliers下拉框，以及其他每個供應商名稱

　　由於我們想讓使用者改變選擇後，立刻更新使用者介面，我們需要設定Suppliers下拉框的AutoPostBack屬性值為true。在第二步中我們將建立一個DetailsView控制項來顯示基於使用者選擇後顯示的供應商詳細資料。然後，在第三步中，我們會建立一個下拉框的SelectedIndexChanged事件的處理器，在代碼裡面我們將根據當前的選擇來把具體的供應商資訊綁定到DetailsView控制項中。

第二步：添加一個DetailsView控制項

　　讓我們使用DetailsView控制項來顯示供應商資訊。對於能夠查看和編輯所有供應商資訊的使用者，這時DetailsView將支援分頁，並允許使用者逐個查看每個供應商資料。如果使用者是其中的某個供應商，這時DetailsView將只顯示當前這個供應商資訊，而且不會包含分頁的介面。在兩種情況下，DetailsView都將允許使用者能夠編輯所能訪問到的供應商的地址，城市和國家等屬性值。

　　在Suppliers下拉框下添加一個DetailsView，並設定它的ID屬性為SupplierDetails，然後把它綁定到前面建立的AllSuppliersDataSource ObjectDataSource控制項。之後，在DetailsView的智能標籤中開啟Enable Paging和Enable Editing 的多選框。

　　注意：如果你在DetailsView標籤代碼中沒有看到Enable Edit屬性，那是因為你沒有把ObjectDataSource的Update()方法

　　綁定到SuppliersBLL類的UpdateSupplierAddress方法。花一時間點事件回過去重新設定一下，然後再回來就能看到Enable Edit屬性。由於SuppliersBLL類的UpdateSupplierAddress方法只允許有四個參數－supplierID，address，city以及country，需要修改DetailsView的BoundFields讓CompanyName和Phone兩個BoundFields是read-only。此外，把SupplierID這個BoundField完全刪除。最後，這個AllSuppliersDataSource控制項已經含有一個OldValuesParameterFormatString屬性，值為original_{0}。再花些時間把它完全刪除或者修改它的值為預設值{0}。通過對SupplierDetails這個DetailsView控制項以及對AllSuppliersDataSource這個ObjectDataSource控制項的設定，我們的代碼將如下所示：

<asp:ObjectDataSource ID="AllSuppliersDataSource" runat="server"  SelectMethod="GetSuppliers" TypeName="SuppliersBLL"  UpdateMethod="UpdateSupplierAddress">  <UpdateParameters>    <asp:Parameter Name="supplierID" Type="Int32" />    <asp:Parameter Name="address" Type="String" />    <asp:Parameter Name="city" Type="String" />    <asp:Parameter Name="country" Type="String" />  </UpdateParameters></asp:ObjectDataSource><asp:DetailsView ID="SupplierDetails" runat="server" AllowPaging="True"  AutoGenerateRows="False" DataKeyNames="SupplierID"  DataSourceID="AllSuppliersDataSource">  <Fields>    <asp:BoundField DataField="CompanyName" HeaderText="Company"      ReadOnly="True" SortExpression="CompanyName" />    <asp:BoundField DataField="Address" HeaderText="Address"      SortExpression="Address" />    <asp:BoundField DataField="City" HeaderText="City"      SortExpression="City" />    <asp:BoundField DataField="Country" HeaderText="Country"      SortExpression="Country" />    <asp:BoundField DataField="Phone" HeaderText="Phone" ReadOnly="True"      SortExpression="Phone" />    <asp:CommandField ShowEditButton="True" />  </Fields></asp:DetailsView>

　　這時不管在Suppliers下拉框中選擇什麼，DetailsView能夠被分頁瀏覽，選擇的供應商的地址資訊也可以被更新。（見圖6）

圖6：任何供應商的資訊都可以被查看，並且他的地址可以被更新。

第三步：顯示只有被選擇的供應商資訊

　　我們的頁面此刻不管從Suppliers下拉框中選擇哪個供應商，都能看到所有的供應商資訊。為了只顯示選擇的供應商資訊，我們需要添加另外一個ObjectDataSource到頁面，用來擷取一個特定的供應商資訊。

　　在頁面上添加一個新的ObjectDataSource控制項，命名為SingleSupplierDataSource。在標籤智能標籤中，點擊Configure Data Source的連結，讓它使用SuppliersBLL類的GetSupplierBySupplierID(supplierID)方法。和AllSuppliersDataSource這個控制項一樣，把SingleSupplierDataSource控制項的Update()方法指向到SuppliersBLL類的UpdateSupplierAdress方法。

圖7：配置SingleSupplierDataSource ObjectDataSource控制項並使用GetSupplierBySupplierID(supplierID)方法

　　接下來，提示我們需要為GetSupplierBySupplierID(supplierID)方法的supplierID參數指定參數來源。因為我們想要從下拉框選擇的供應商來顯示資訊，這裡我們選擇Suppliers下拉框的SelectedValue屬性作為參數來源。

圖8：使用Suppliers下拉框作為supplierID參數來源

　　即使我們添加了第二個ObjectDataSource，目前的DetailsView仍然是使用AllSuppliersDataSource這個ObjectDataSource控制項。我們需要添加一些邏輯，根據選擇不同的Suppliers中的供應商來調整資料來源的使用。為了做到這些，可以為Suppliers下拉框添加一個SelectedIndexChanged事件的處理器。可以通過最簡單地在設計器中雙擊下拉框完成。這個事件處理器需要決定使用什麼資料來源，而且需要重新綁定資料道DetailsView控制項。下面是完成功能的代碼：

protected void Suppliers_SelectedIndexChanged(object sender, EventArgs e){  if (Suppliers.SelectedValue == "-1")  {    // The "Show/Edit ALL" option has been selected    SupplierDetails.DataSourceID = "AllSuppliersDataSource";    // Reset the page index to show the first record    SupplierDetails.PageIndex = 0;  }  else    // The user picked a particular supplier    SupplierDetails.DataSourceID = "SingleSupplierDataSource";  // Ensure that the DetailsView is in read-only mode  SupplierDetails.ChangeMode(DetailsViewMode.ReadOnly);  // Need to "refresh" the DetailsView  SupplierDetails.DataBind();}

　　這個事件處理器由是否選擇“顯示/編輯所有的供應商“來觸發。如果選擇，它會設定SupplierDetails這個DetailsView控制項的DataSourceID為AllSuppliersDataSource控制項，並且通過指定PageIndex為0來使得使用者看到這些供應商中的第一條記錄。然而，如果使用者從下拉框選擇了一個特定的供應商，DetailsView的DataSourceID將會被設定成SingleSuppliersDataSource。不管使用哪一種資料來源，SuppliersDetails將會被設定成唯讀模式，通過調用SuppliersDetails控制項的DataBind()方法來重新綁定DetailsView的資料。

　　通過這個事件處理器，DetailsView現在可以顯示選擇的供應商資訊，除非選擇了“顯示/編輯所有的供應商“，那樣所有的供應商可以通過分頁被瀏覽。圖9顯示了選擇了“顯示/編輯所有的供應商“的頁面，注意分頁介面的實現，允許使用者訪問和更新供應商資訊。圖10顯示了選擇的Ma Maison供應商資訊。這種情況下只有Ma Maison的資訊是可以被瀏覽和編輯的。

圖9：所有的供應商資訊可以被瀏覽和編輯

圖10：只有選擇的供應商資訊才能被瀏覽和編輯

　　注意：對於這個教程，DropDownList和DetailsView控制項的EnableViewState都必須設定成預設的true，這是因為改變DropDownList的SelectedIndex和DetailsView的DataSourceID屬性，必須在回傳的時候被記錄。

第四步：在一個可編輯的GridView中列出供應商資訊

　　隨著DetailsView的完成，我們下一步要根據選擇的供應商提供一個可以編輯的GridView。這個GridView控制項應該只允許編輯ProductName和QuantityPerUnit屬性。此外，如果使用者是一個特定的供應商，並且訪問這個頁面，應該允許他能夠更新那些可以沒有過時的產品。為了實現這些我們首先需要給ProductBLL類添加一個重載的UpdateProducts方法，讓它使用ProductID，ProductName，以及QuantityPerUnit作為輸入參數。在前面的教程中我們已經做過類似的操作，所以這裡我們僅看一下需要添加到ProductsBLL類中的代碼：

[System.ComponentModel.DataObjectMethodAttribute(System.ComponentModel.DataObjectMethodType.Update, false)]public bool UpdateProduct(string productName, string quantityPerUnit, int productID){  Northwind.ProductsDataTable products = Adapter.GetProductByProductID(productID);  if (products.Count == 0)    // no matching record found, return false    return false;  Northwind.ProductsRow product = products[0];  product.ProductName = productName;  if (quantityPerUnit == null)    product.SetQuantityPerUnitNull();  else    product.QuantityPerUnit = quantityPerUnit;  // Update the product record  int rowsAffected = Adapter.Update(product);  // Return true if precisely one row was updated, otherwise false  return rowsAffected == 1;}

　　通過這個重載方法，我們可以開始添加GridView控制項以及相關的ObjectDataSource控制項。添加一個GridView控制項到頁面上，並且設定它的ID屬性為ProductBySupplier，然後配置它使用新的名為ProductBySupplierDataSource的ObjectDataSource控制項。因為我們想通過選擇供應商來使GridView顯示那些產品，我們需要使用ProductBLL類的GetProductsBySupplierID(supplierID)方法。同時需要把剛剛添加的重載方法UpdateProduct映射到ObjectDataSource的Update()方法。

圖11：配置ObjectDataSource使用添加的UpdateProduct重載方法

　　接下來提示要我們為GetProductsBySupplierID(supplierID)方法的supplierID輸入參數選擇參數源。因為我們想要在DetailsView中顯示供應商的產品資訊，我們使用SuppliersDetails這個DetailsView控制項的SelectedValue屬性作為參數源。

圖12：使用SuppliersDetails DetailsView控制項的SelectedValue屬性作為參數源

　　回到GridView中，除去ProductName，QuantityPerUnit，還有Discontinued以外的其他成員，並標記Discontinued CheckBoxField為read-only。而且，在GridView的智能標籤中勾上Enable Editing這個選項。做完這些改變之後，GridView和ObjectDataSource聲明標記應該和下面的相似：

<asp:GridView ID="ProductsBySupplier" runat="server" AutoGenerateColumns="False"  DataKeyNames="ProductID" DataSourceID="ProductsBySupplierDataSource">  <Columns>    <asp:CommandField ShowEditButton="True" />    <asp:BoundField DataField="ProductName" HeaderText="Product"      SortExpression="ProductName" />    <asp:BoundField DataField="QuantityPerUnit" HeaderText="Qty/Unit"      SortExpression="QuantityPerUnit" />    <asp:CheckBoxField DataField="Discontinued" HeaderText="Discontinued"      ReadOnly="True" SortExpression="Discontinued" />  </Columns></asp:GridView><asp:ObjectDataSource ID="ProductsBySupplierDataSource" runat="server"  OldValuesParameterFormatString="original_{0}" TypeName="ProductsBLL"  SelectMethod="GetProductsBySupplierID" UpdateMethod="UpdateProduct">  <UpdateParameters>    <asp:Parameter Name="productName" Type="String" />    <asp:Parameter Name="quantityPerUnit" Type="String" />    <asp:Parameter Name="productID" Type="Int32" />  </UpdateParameters>  <SelectParameters>    <asp:ControlParameter ControlID="SupplierDetails" Name="supplierID"      PropertyName="SelectedValue" Type="Int32" />  </SelectParameters></asp:ObjectDataSource>

　　和前面一個ObjectDataSource一樣，這個ObjectDataSource控制項的OldValuesParameterFormatString設定成了original_{0}，會在更新產品名稱及其單價時候出現問題。可以從聲明中除去這個屬性或者把它的值設定為預設的{0}。在配置完成之後，我們的頁面現在可以在GridView中顯示被選擇的供應商的產品資訊（見圖13）。現在任何一個產品的名字以及單價都是可以編輯更新的。然後，我們需要更新代碼邏輯，以確保為指定供應商相關的使用者過濾那些已經廢棄的產品。我們將在第四步的最後實現它。

圖13：選擇的供應商的產品被顯示

　　注意：通過添加可編輯的GridView控制項，在Suppliers下拉框的SelectedIndexChanged事件處理器中，我們應該更新GridView回到唯讀狀態。否則，如果在編輯一個產品資訊的同時，更換一個供應商，一個相應的GridView的索引將會保持GridView的可編輯狀態。為了避免發生這類事情，可以在SelectedIndexChanged事情中很簡單地設定GridView的EditIndex屬性為-1。

第五步：當“顯示/編輯所有供應商”沒有被選擇時候，不允許編輯已經廢棄的產品

　　儘管ProductsBySupplier GridView已經功能全面，它當前為來自指定供應商的使用者提供了太多的存取權限。根據我們的商務規則，使用者不能夠更新廢棄的產品。為了執行這些，當來自某個指定供應商的使用者訪問這個頁面時，我們會在GridView中這些廢棄的產品前隱藏掉編輯按鈕。

　　為GridView的RowDataBound事件建立一個事件處理器。在事件處理器中我們需要決定使用者是否和某個供應商相關聯，對於教程中，我們可以通過Suppliers這個下拉框來決定－如果不是-1,那麼使用者就是和當前供應商關聯的。對於某些使用者，我們需要決定產品是否已經廢棄。我們可以通過e.Row.DataItem屬性來獲得一個綁定到GridView上的ProductRow執行個體，正如我們在在GridView的頁尾顯示摘要資訊教程中所提及到的。如果產品到期了，我們可以使用在前面教程－為刪除資料添加用戶端確認中所討論的技術，在GridView的CommandFild中擷取一個編輯按鈕的引用，一旦我們獲得這個引用，我們就可以隱藏或者刪除這個按鈕。

protected void ProductsBySupplier_RowDataBound(object sender, GridViewRowEventArgs e){  if (e.Row.RowType == DataControlRowType.DataRow)  {    // Is this a supplier-specific user?    if (Suppliers.SelectedValue != "-1")    {      // Get a reference to the ProductRow      Northwind.ProductsRow product =        (Northwind.ProductsRow)((System.Data.DataRowView)e.Row.DataItem).Row;      // Is this product discontinued?      if (product.Discontinued)      {        // Get a reference to the Edit LinkButton        LinkButton editButton = (LinkButton)e.Row.Cells[0].Controls[0];        // Hide the Edit button        editButton.Visible = false;      }    }  }}

　　在事件處理器中，當一個來自指定供應商的使用者訪問這個頁面時候，那些被廢棄的產品將是不可編輯的，因為這些產品的編輯按鈕不再可見。比如，Chef Anton's Gumbo Mix對於New Orleans Cajun Delights供應商來講是一個廢棄產品。當這個供應商的使用者訪問這個頁面時候，這個產品的編輯按鈕是不可見的（見圖14）。然而，當使用“顯示/編輯所有供應商”訪問頁面時候，編輯按鈕是可見的（見圖15）。

圖14：對於指定供應商使用者，Chef Anton's Gumbo Mix的編輯按鈕是被隱藏的

圖15：對於“顯示/編輯所有供應商”使用者，Chef Anton's Gumbo Mix的編輯按鈕是可見的

在商務邏輯層中檢查存取權限

　　在這篇教程中，ASP.NET通過處理邏輯讓使用者可以訪問那些資訊以及哪些產品他可以更新。概念上來講，這些邏輯也可以在商務邏輯成完成。例如，在SuppliersBLL類中的GetSuppliers()方法可以包含一個檢測，以保證當前登入的使用者不和一個指定的供應商相關。同樣，UpdateSupplierAddress方法可以添加一個檢測，確保當前登入使用者既可以是來自我們公司（因此可以更新所有供應商的地址資料），或者跟一個特定的供應商相關，只能更新他的資料。在這裡我不會包含任何商務邏輯層的檢測代碼，因為在教程中，使用者的許可權由頁面的下拉框所決定，商務邏輯層的類代碼是無法訪問到的。當使用成員系統或者是ASP.NET提供的一種認證模式（比如Windows認證），當前登入使用者的資訊和角色資訊可以通過商務邏輯層訪問到，因此在那種情況下在表現層和業務層都能夠進行許可權判斷。

總結

　　大部分提供帳號的網站需要根據登入使用者而定製不同的資料修改介面。管理員或許能夠刪除或編輯任何記錄，沒有系統管理權限的使用者可能被限制只能更新或刪除他們自己建立的資料。無論是哪類情況，資料web控制項，ObjectDataSource，以及商務邏輯層的類可以用來擴充成基於登入使用者的添加刪除功能。在這篇教程中，我們看到了如果根據使用者是否和某個供應商相關聯，或者是為我們公司一員來限制顯示和編輯資料。

　　這篇教程總結了使用GridView，DetailsView，以及FormView控制項來添加，更新，刪除資料。從下一篇開始，我們將關注添加分頁和排序的功能支援。

祝編程愉快！

作者簡介

Scott Mitchell，著有六本ASP/ASP.NET方面的書，是4GuysFromRolla.com的創始人，自1998年以來一直應用 微軟Web技術。Scott是個獨立的技術諮詢顧問，培訓師，作家，最近完成了將由Sams出版社出版的新作，24小時內精通ASP.NET 2.0。他的聯絡電郵為mitchell@4guysfromrolla.com，也可以通過他的部落格http://ScottOnWriting.NET與他聯絡。