Asp.net中的使用者角色許可權設計

 

　以上是一個簡化版本關係圖.
User：使用者表，存放使用者資訊
Role：角色表，存放角色資訊
UserInRole：使用者角色映射表，存放使用者和角色的對就關係，多對多，一個使用者可以對應多個
角色，而不同的角色有一同的許可權。
Permissions：許可權表，不同的角色對應不同的許可權。許可權資訊使用一個欄位flag來表示，
好處是可以使用位元運算來計算許可權，缺點是用位標識的許可權受理論值限制，如int理論上可以
標識31種不同的許可權,　當然可以整加一個欄位來彌補，ApplicationID標識不同的模組
Application：模組資訊。

  [Flags]
     public enum Flag:long
     {
      View=1,
      Edit=2,
      Delete=4
     }

特性[Flag]告訴編譯器,當編譯器看到Flag枚舉時，它會充許你用|(or)操作符組合枚舉值，
就像二的整數冪一樣，
例如 Flag  Administer=Flag.View|Flag.Edit|Flag.Delete;表示三種許可權的組合。

基礎知識：

位元運算

枚舉Flag

當編譯器看到Flag枚舉時，它會充許你用|(or)操作符組合枚舉值，
就像二的整數冪一樣，
例如 Flag Administer=Flag.View|Flag.Edit|Flag.Delete;

常用操作，檢查是否存在
Flag administer=Flag.View|Flag.Edit|Flag.Delete;
  public bool Check(Flag administer,Flag mask)
        {
            bool bReturn = false;
            if ((administer & mask) == mask)
                bReturn = true;

            return bReturn;
        }
調用 　Check(administer,Flag.Edit)將返回true.

 public Flag SetBit(Flag administer,Flag mask)
        {
          return  administer |= mask;
          
        }

 administer |= mask;操作相當於 administer = administer |mask;

　從枚舉中減去一種狀態
　　administer　&=mask;

  如 :
Flag administer=Flag.View|Flag.Edit|Flag.Delete;
如需要禁止刪除許可權.
 administer &=Flag.Delete;

　另外，標記為flag的枚舉類型，可以不設定值
   public enum Flag:long
     {
      View,
      Edit,
      Delete
     }
  　如需要設定，按以下規律， View=1,Edit=2,Delete=4,Reply=8按2次方累加，為什麼會這樣？因為他使用二進位操作，
   當你使用　View=1,Edit=2,Delete=3,Reply=4這樣的值， Flag.Delete 包含的值是Flag.Delete還是View=1|Edit=2就無從檢測了.

每個使用者，可以屬於不同的角色不同的角色指派不同的許可權，計算所有解權的所有可能的許可權組合，只要有充許的許可權，那麼該使用者既擷取該許可權。

在CS系統中，Permissions表合用了二個欄位來標識許可權.
 AllowMask,DenyMask　規責是Deny優先,也就是說當許可權標記為Deny那麼不論是否Allow一律禁止該使用者進行此項操作。

另外，像論壇類的許可權設計，僅僅一個ApplicationID欄位是不夠用的，因為每個版塊都需要設定不同的許可權，來控制許可權的粒度，可在增加一張Permission表，ApplicationID修改為版塊ID
這樣，就可以針對不同的版塊設定不同的許可權

好了，接下的問題是怎麼和.net內建的許可權系統掛鈎了。。

 

在asp.net系統中　，HttpContext.Current.User實現了一個介面IPrincipal,IPrincipal包含了另一個介面Identity

  我們在設計User類的時候繼承此介面
  public class User:IPrincipal
  {
    string username;
    public string Username
    {
     get{return username;}
     set{username=value;}
    }
  }

  實現IPrincipal介面方法
　  public IIdentity Identity
        {
            get {
                if (!string.IsNullOrEmpty(username))
                    _Identity = new GenericIdentity(username,"Forums");
                return (IIdentity)_Identity;
            }
        }

public bool IsInRole(string role)
{
.....
}

怎樣和asp.net掛鈎呢，這裡可以在登陸時做檢查

 if(HttpContext.Current!=null){
                User u= Users.GetUser(name);
                HttpContext.Current.User =u;

在使用時　
 User u = HttpContext.Current.User as User;
當然檢查使用者角色可以直接用

 

 if(HttpContext.Current.User.Identity.IsAuthenticated&&HttpContext.Current.User.IsInRole(角色名稱))

另外可以直接把到當使用者權限策略掛接到當前線程 ,使用以下方法
    AppDomain.CurrentDomain.SetPrincipalPolicy(User);

好了，接下來，怎麼check許可權？

 

 

 

 

 

我傾向於使用Attribute

 [AttributeUsage(AttributeTargets.Class | AttributeTargets.Method | AttributeTargets.Property | AttributeTargets.Delegate, Inherited = true, AllowMultiple = true)]
    public class CheckPermissionAttribute : Attribute
    {

        int appID;
        public int ApplicationID
        {
            get { return appID; }
            set { appID = value; }
        }
        Permission _allMask;
        public Permission AllMask
        {
            get { return _allMask; }
            set { _allMask = value; }
        }

        public CheckPermissionAttribute(ApplicationID app, Permission allMask)
        {
            appID = app;
            _allMask = allMask;
        }
        public CheckPermissionAttribute(Permission allMask)
        {
            _allMask = allMask;
        }

    }
AttributeUsage 第一個參數表示該屬性可以應用於類，方法，屬性，代理上
Inherited 檢查繼承的許可權。
AllowMultiple 充許多次應用。

按下來，設計一個基類,繼承自Page：

public   class PageBase : Page
{
Flag _allMask;

/// <summary>
    /// 檢查類型許可權
    /// </summary>
    public void CheckClass()
    {
        Type type = this.GetType();
        CheckPermissionAttribute att = (CheckPermissionAttribute)CheckPermissionAttribute.GetCustomAttribute(type, typeof(CheckPermissionAttribute));
        if (att != null)
        {
            Check(att.AllMask);
        }
    }

  /// <summary>
    /// 檢查函數調用許可權
    /// </summary>
    /// <param name="methodName">方法名</param>
    public void CheckMethod(string methodName)
    {
        Type type = this.GetType();
        string name = "*";
        if (!string.IsNullOrEmpty(methodName))
            name = methodName;
        MemberInfo[] mis = type.FindMembers(MemberTypes.Method ,BindingFlags.Instance | BindingFlags.NonPublic | BindingFlags.Public | BindingFlags.IgnoreCase,Type.FilterNameIgnoreCase,name);
        foreach (MethodInfo m in mis)
       {
           CheckPermissionAttribute att = (CheckPermissionAttribute)CheckPermissionAttribute.GetCustomAttribute(m, typeof(CheckPermissionAttribute));
           if (att != null)
           { 

               Check(att.AllMask);
                          
           }
           
       }
       return;
 
   
    }
    public void Check(Flag permissions)
    {
        if (!CheckPermission(permissions))
        {
            string url = string.Format("MsgPage.aspx?msg={0}", HttpUtility.UrlEncode("您沒有許可權訪問該資源"));
            Response.Redirect(url);
        }
    }
    public void Check(ApplicationID appID, Flag permissions)
    {
        PermissionManager  pm= Spaces.PermissionManager.Instance(appType);
        if (!CheckPermission(pm,permissions))
        {
            string url = string.Format("MsgPage.aspx?msg={0}", HttpUtility.UrlEncode("您沒有許可權訪問該資源"));
            Response.Redirect(url);
        }

    }

 protected override void OnInit(EventArgs e)
    {
        CheckClass();
        base.OnInit(e);
    }
}

如何使用：

[CheckPermission(2, Flag.View)]
public partial class MyPage : PageBase
{

}

若沒有查看許可權，會自運導向錯誤頁面。

在類上應用挺方便。

方法上應用我於一個方法比較麻煩，我還沒有找到在頁面class裡怎麼擷取當前調用的類名.

可以調用 CheckMethod(方法名稱);如
[CheckPermission(2, Flag.Delete)]
public partial class MyPage : PageBase
{
  public void test()
  {
   CheckMethod("test");
   .......
  }
}