asp.net core mvc權限控制：分配權限

1，分配權限到角色：Microsoft.AspNetCore.Identity.EntityFrameworkCore中提供了RoleManager類，類中提供了把權限分配到角色的方法：

　　Task<IdentityResult> AddClaimAsync(TRole role, Claim claim)

　　第一個參數表示對應的角色對象，第二個參數表示一個權限信息

2，分配權限到用戶：Microsoft.AspNetCore.Identity.EntityFrameworkCore中提供了UserManager類，類中提供了把權限分配到用戶的方法：

　　Task<IdentityResult> AddClaimAsync(TUser user, Claim claim)

　　第一個參數表示對應的用戶對象，第二個參數表示一個權限信息

3，分配用戶到角色：用到的同樣是UserManager類，使用的方法：

　　AddToRoleAsync(TUser user, string role)

　　第一個參數表示的是用戶對象，第二個是角色的名稱

4，獲取角色當前具有的權限列表：

　Task<IList<Claim>> RoleManager.GetClaimsAsync(TRole role)

5，獲取用戶當前具有的權限列表：

　Task<IList<Claim>> UserManager.GetClaimsAsync(TUser user)

 

 

通過這樣的方式就可以完成權限分配全過程，再結合前面的權限控制方法，系統就實現了完成的權限控制邏輯。

那現在的問題來了，權限列表從什麼地方來？一般來說，一個業務系統功能確定後，對應的權限列表也自然就確定了，再實現分配權限到角色，分配權限到用戶的功能時，只需要在頁面上把所有的權限列出來進行選擇即可，效果圖如下：

把選擇的數據調用對應的方法保存即可。

這個問題解決了，但是新的問題又來了。如果說一個業務功能點特別多，自然會導致權限也會很多，如果完全通過手工的方式寫到頁面上，那自然工作量會很大很大，再者業務系統可能會不斷地變化，這個時候也會去不斷地修改權限分配頁面，這自然不是一個好的方法，下面我給大家說一個我想的一個方法，不一定是最好的，但是能省很大的事。

首秀我們需要解決的問題是，如何快速生成這個權限配置列表。

思路就是改造AuthorizeAttribute，在這個特性基礎上增加權限描述信息，用權限描述信息作爲Policy。下面直接上代碼：

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36

[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, AllowMultiple = true, Inherited =true)]　　//類名稱可以改，因爲我把系統操作當作資源來管理     public class ResourceAttribute:AuthorizeAttribute     {         private string _resouceName;         private string _action;         public ResourceAttribute(string name)         {             if (string.IsNullOrEmpty(name))             {                 throw new ArgumentNullException(nameof(name));             }             _resouceName = name; 　　　　　　　//把資源名稱設置成Policy名稱             Policy = _resouceName;         }           public string GetResource()         {             return _resouceName;         }         public string Action         {             get             {                 return _action;             }             set             {                 _action = value;                 if (!string.IsNullOrEmpty(value))                 {　　　　　　　　　　　　//把資源名稱跟操作名稱組裝成Policy                     Policy = _resouceName + "-" + value;                 }             }         }     }

　　

 

類已經定義好了，那我們就看看如何使用，因爲是特性定義，所以可以在控制器類或者方法上按照下面結構使用：

[Resource("組織架構", Action = "添加部門")]

到這裏基礎工作已經做完，下面還有兩個問題需要解決：

1，Policy現在只是配置了名稱，但是具體驗證規則沒有定義

2，如何獲取所有的權限列表

 

先來看第一個問題，前面的文章介紹了，Policy需要提前在startup裏通過AddAuthorization進行配置，但是現在我們並沒有做這樣的步驟,所以目前權限還不會起作用。框架在權限驗證的時候，會依賴一個IAuthorizationPolicyProvider來根據Policy名稱獲取具體的規則，自然我們會想到自定義一個IAuthorizationPolicyProvider實現，代碼如下：

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41

public class ResourceAuthorizationPolicyProvider : IAuthorizationPolicyProvider     {         private  AuthorizationOptions _options;         public ResourceAuthorizationPolicyProvider(IOptions<AuthorizationOptions> options)         {             if (options == null)             {                 throw new ArgumentNullException(nameof(options));             }               _options = options.Value;         }         public Task<AuthorizationPolicy> GetDefaultPolicyAsync()         {             return Task.FromResult(_options.DefaultPolicy);         } 　　         public Task<AuthorizationPolicy> GetPolicyAsync(string policyName)         {             AuthorizationPolicy policy = _options.GetPolicy(policyName);　　　　　　　//因爲我們policy的名稱其實就是對應的權限名稱，所以可以用下列邏輯返回需要的驗證規則             if (policy == null)             {                 string[] resourceValues = policyName.Split(new char[] { '-' }, StringSplitOptions.None);                 if (resourceValues.Length == 1)                 {                     _options.AddPolicy(policyName, builder =>                     {                         builder.AddRequirements(new ClaimsAuthorizationRequirement(resourceValues[0], null));                     });                 }                 else                 {                     _options.AddPolicy(policyName, builder =>                     {                         builder.AddRequirements(new ClaimsAuthorizationRequirement(resourceValues[0], new string[] { resourceValues[1] }));                     });                 }             }             return Task.FromResult(_options.GetPolicy(policyName));         }     }

實現了IAuthorizationPolicyProvider，我們就需要在startup.cs的ConfigureServices(IServiceCollection services)方法中進行註冊，操作如下：

1	services.TryAdd(ServiceDescriptor.Transient<IAuthorizationPolicyProvider, ResourceAuthorizationPolicyProvider>());

 

再來看第二個問題，我們已經在控制器或者方法上定義了權限信息，關鍵是我們如何從這些特性裏獲取到權限列表，將來用於權限分配的時候使用。在asp.net core mvc中提供了一個類解析機制，IApplicationModelProvider，這個依賴信息比較多，這裏就不過多介紹，後續我會單獨開一個系列，介紹asp.net core mvc的內部機制。

直接上代碼

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49

public class ResourceApplicationModelProvider : IApplicationModelProvider     {         private readonly IAuthorizationPolicyProvider _policyProvider;           public ResourceApplicationModelProvider(IAuthorizationPolicyProvider policyProvider)         {             _policyProvider = policyProvider;         }                     public void OnProvidersExecuted(ApplicationModelProviderContext context)         {                      }           public void OnProvidersExecuting(ApplicationModelProviderContext context)         {             if (context == null)             {                 throw new ArgumentNullException(nameof(context));             }               List<ResourceAttribute> attributeData = new List<ResourceAttribute>();　　　　　　　　//循環獲取所有的控制器             foreach (var controllerModel in context.Result.Controllers)             {　　　　　　　　//得到ResourceAttribute                 var resourceData = controllerModel.Attributes.OfType<ResourceAttribute>().ToArray();                 if (resourceData.Length > 0)                 {                     attributeData.AddRange(resourceData);                 } 　　　　　　　　　　//循環控制器方法                 foreach (var actionModel in controllerModel.Actions)                 {                   //得到方法的ResourceAttribute                     var actionResourceData = actionModel.Attributes.OfType<ResourceAttribute>().ToArray();                     if (actionResourceData.Length > 0)                     {                         attributeData.AddRange(actionResourceData);                     }                 }             } 　　　　　　　//把所有的resourceattribute的信息寫到一個全局的resourcedata中，resourcedata就可以在其他地方進行使用，resourcedata定義後面補充　             foreach (var item in attributeData)             {                 ResourceData.AddResource(item.GetResource(), item.Action);             }         }           public int Order { get { return -1000 + 11; } }     }

resourcedata定義如下

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31

public class ResourceData     {         static ResourceData()         {             Resources = new Dictionary<string, List<string>>();         }           public static void AddResource(string name)         {             AddResource(name, "");         }           public static void AddResource(string name,string action)         {             if (string.IsNullOrEmpty(name))             {                 return;             }             if (!Resources.ContainsKey(name))             {                 Resources.Add(name, new List<string>());             }               if (!string.IsNullOrEmpty(action) && !Resources[name].Contains(action))             {                 Resources[name].Add(action);             }         }           public static Dictionary<string, List<string>> Resources { get; set; }     }

　然後在startup中註冊我們剛剛定義的IApplicationModelProvider：

1	services.TryAddEnumerable(ServiceDescriptor.Transient<IApplicationModelProvider, ResourceApplicationModelProvider>());

　然後在權限分配頁面通過ResourceData.Resources就獲取到了所有的權限信息，然後通過循環的方式直接顯示到頁面上即可。