MVC自定义AuthorizeAttribute实现权限管理

在MVC中，通常使用AuthorizeAttribute来进行身份验证和授权操作。但是默认的AuthorizeAttribute只支持简单的用户身份验证，对于权限管理的实现需要自定义AuthorizeAttribute进行扩展。本文将详细介绍如何自定义AuthorizeAttribute实现权限管理，并提供案例说明，帮助大家快速上手。

一、AuthorizeAttribute简介

AuthorizeAttribute是ASP.NET MVC中用来进行身份验证和授权的一个特性（attribute），它可以用来标记Controller和Action。在用户访问Controller和Action时，AuthorizeAttribute会检查用户是否已经登录，与当前Controller和Action是否允许访问。如果用户未登录或者当前Controller和Action不允许访问，则跳转到登录页面或者返回错误信息。

默认情况下，AuthorizeAttribute只验证用户是否登录，不进行更深层次的权限管理。因此，在实际开发中，我们通常需要自定义AuthorizeAttribute来实现更丰富的权限管理。

二、自定义AuthorizeAttribute

通过自定义AuthorizeAttribute实现权限管理，通常需要考虑以下几个方面：

1. 验证用户是否已登录；

2. 获取当前用户的权限信息；

3. 判断用户是否有访问当前Controller和Action的权限；

4. 如果用户没有访问权限，需要进行相应的处理，比如跳转到错误页面或者返回错误信息。

下面，我们来分别介绍这几个方面的实现方法。

1. 验证用户是否已登录

验证用户是否已登录可以通过重写AuthorizeAttribute中的OnAuthorization方法实现。OnAuthorization方法在实现身份验证和授权之前调用，我们可以在该方法中进行相关的验证操作。

例如，下面是一个简单的身份验证方法，判断用户是否已经登录：

```

public override void OnAuthorization(AuthorizationContext filterContext)

{

if (filterContext.HttpContext.User.Identity.IsAuthenticated == false)

{

// 用户未登录，跳转到登录页面

filterContext.Result = new RedirectResult("~/Account/Login");

}

}

```

在该方法中，我们通过HttpContext的User属性获取当前用户的身份信息，如果用户未登录，则跳转到登录页面。

2. 获取当前用户的权限信息

获取当前用户的权限信息需要根据具体的实现进行处理。通常，我们可以将用户的权限信息存储在Session、Cookie、数据库或者其他地方。

例如，下面是一个从Session中获取用户信息的方法：

```

private UserInfo GetCurrentUser()

{

return (UserInfo)HttpContext.Current.Session["UserInfo"];

}

```

在该方法中，我们从HttpContext的Session属性获取保存在Session中的用户信息，这里的UserInfo是一个自定义的用户信息类，保存了用户的一些基本信息和权限信息。

3. 判断用户是否有访问当前Controller和Action的权限

判断用户是否有访问当前Controller和Action的权限需要根据具体的实现进行处理。通常，我们可以通过判断用户拥有的权限信息和当前Controller和Action的访问权限信息，来判断用户是否有访问权限。

例如，下面是一个根据用户角色来判断权限的方法：

```

private bool HasPermission(UserInfo user, string controllerName, string actionName)

{

// 获取用户拥有的角色

var roles = user.Roles;

// 获取当前Controller和Action的访问权限信息

var permissions = GetPermissionsForControllerAction(controllerName, actionName);

// 判断用户是否拥有访问权限

return roles.Any(r => permissions.Contains(r));

}

```

在该方法中，我们通过获取用户拥有的角色和当前Controller和Action的访问权限信息，来判断用户是否有访问权限。其中，GetPermissionsForControllerAction方法用来获取当前Controller和Action的访问权限信息。

4. 如果用户没有访问权限，需要进行相应的处理

如果用户没有访问权限，通常需要进行相应的处理，比如跳转到错误页面或者返回错误信息。

例如，下面是一个跳转到错误页面的方法：

```

private void RedirectToErrorPage()

{

var errorUrl = "~/Error/AccessDenied";

// 跳转到错误页面

filterContext.Result = new RedirectResult(errorUrl);

}

```

在该方法中，我们构造一个跳转到错误页面的URL，然后使用RedirectResult跳转到错误页面。

三、使用案例说明

下面，我们通过一个案例来说明如何使用自定义AuthorizeAttribute实现权限管理。

假设我们有一个电子商务网站，需要对用户的访问进行权限管理。我们可以将用户的权限信息存储在数据库中，然后在每次用户访问Controller和Action时，从数据库中获取当前用户的权限信息，然后判断用户是否有访问权限。

1. 创建权限管理表

首先，我们需要创建一个保存权限信息的表，用来存储用户的角色信息和当前Controller和Action的访问权限信息。该表的结构可以如下：

```

CREATE TABLE [dbo].[Permissions](

[Id] [int] IDENTITY(1,1) NOT NULL,

[Role] [nvarchar](50) NOT NULL,

[Controller] [nvarchar](50) NOT NULL,

[Action] [nvarchar](50) NOT NULL,

CONSTRAINT [PK_Permissions] PRIMARY KEY CLUSTERED

(

[Id] ASC

)WITH (PAD_INDEX = OFF, STATISTICS_NORECOMPUTE = OFF, IGNORE_DUP_KEY = OFF, ALLOW_ROW_LOCKS = ON, ALLOW_PAGE_LOCKS = ON) ON [PRIMARY]

) ON [PRIMARY]

```

在该表中，Role字段保存用户的角色，Controller和Action字段保存当前Controller和Action的访问权限信息。

2. 创建权限管理类

然后，我们需要创建一个权限管理类，用来获取用户的角色信息和当前Controller和Action的访问权限信息。例如，下面是一个简单的权限管理类：

```

public class PermissionManager

{

public static bool HasPermission(string role, string controller, string action)

{

using (var ctx = new ApplicationDbContext())

{

// 判断用户是否有访问权限

return ctx.Permissions.Any(p => p.Role == role && p.Controller == controller && p.Action == action);

}

}

}

```

在该类中，我们通过使用Entity Framework来访问数据库，查询当前Controller和Action的访问权限信息。如果用户拥有访问权限，则返回true，否则返回false。

3. 自定义AuthorizeAttribute

然后，我们可以通过继承AuthorizeAttribute类，自定义一个名为PermissionAuthorizeAttribute的特性，用来实现权限管理。例如，下面是一个简单的PermissionAuthorizeAttribute类：

```

public class PermissionAuthorizeAttribute : AuthorizeAttribute

{

protected override bool AuthorizeCore(HttpContextBase httpContext)

{

// 验证用户是否已登录

var isAuthorized = base.AuthorizeCore(httpContext);

if (!isAuthorized)

return false;

// 获取当前用户信息

var user = httpContext.Session["UserInfo"] as UserInfo;

if (user == null)

return false;

// 获取当前Controller和Action名称

var routeData = httpContext.Request.RequestContext.RouteData;

var controller = routeData.Values["controller"].ToString();

var action = routeData.Values["action"].ToString();

// 判断用户是否拥有访问权限

var hasPermission = PermissionManager.HasPermission(user.Role, controller, action);

return hasPermission;

}

protected override void HandleUnauthorizedRequest(AuthorizationContext filterContext)

{

// 跳转到错误页面

filterContext.Result = new RedirectResult("~/Error/AccessDenied");

}

}

```

在该类中，我们重写了AuthorizeAttribute中的AuthorizeCore和HandleUnauthorizedRequest方法。

在AuthorizeCore方法中，我们首先验证用户是否已登录，如果未登录则返回false。然后，我们从Session中获取当前用户信息，获取当前Controller和Action名称，再通过调用PermissionManager类的HasPermission方法来判断用户是否拥有访问权限，最终返回true或false。

在HandleUnauthorizedRequest方法中，我们重写了默认的未授权跳转操作，将用户重定向到错误页面。

4. 使用自定义AuthorizeAttribute

最后，我们可以使用自定义的PermissionAuthorizeAttribute类来标记需要进行权限管理的Controller和Action。例如，下面是一个使用PermissionAuthorizeAttribute的示例：

```

[PermissionAuthorize]

public class HomeController : Controller

{

public ActionResult Index()

{

return View();

}

[PermissionAuthorize(Roles = "Admin")]

public ActionResult AdminOnly()

{

return View();

}

}

```

在该示例中，我们分别在HomeController和AdminOnly方法上使用了PermissionAuthorizeAttribute，来实现权限管理。其中，HomeController方法不需要特定角色权限，而AdminOnly方法需要Admin角色权限才能访问。

通过以上步骤，我们可以轻松地实现对用户访问的权限管理。

四、总结

本文介绍了如何自定义AuthorizeAttribute实现权限管理，并提供了案例说明，帮助大家快速上手。在实际开发中，我们可以根据具体的需求，对自定义AuthorizeAttribute进行进一步的扩展和优化，实现更丰富的权限管理功能。

壹涵网络我们是一家专注于网站建设、企业营销、网站关键词排名、AI内容生成、新媒体营销和短视频营销等业务的公司。我们拥有一支优秀的团队，专门致力于为客户提供优质的服务。

我们致力于为客户提供一站式的互联网营销服务，帮助客户在激烈的市场竞争中获得更大的优势和发展机会！