User:用戶表,存放用戶信息
Role:角色表,存放角色信息
UserInRole:用戶角色映射表,存放用戶和角色的對就關係,多對多,一個用戶可以對應多個
角色,而不同的角色有一同的權限。
Permissions:權限表,不同的角色對應不同的權限。權限信息使用一個字段flag來表示,
好處是可以使用位運算來計算權限,缺點是用位標識的權限受理論值限制,如int理論上可以
標識31種不同的權限, 當然可以整加一個字段來彌補,ApplicationID標識不同的模塊
Application:模塊信息。
public enum Flag:long
{
View=1 ,
Edit=2 ,
Delete=4
}
特性[Flag]告訴編譯器,當編譯器看到Flag枚舉時,它會充許你用|(or)操作符組合枚舉值,
就像二的整數冪一樣,
例如 Flag Administer=Flag.View|Flag.Edit|Flag.Delete;表示三種權限的組合。
基礎知識:
位運算
枚舉Flag
當編譯器看到Flag枚舉時,它會充許你用|(or)操作符組合枚舉值,
就像二的整數冪一樣,
例如 Flag Administer=Flag.View|Flag.Edit|Flag.Delete;
常用操作,檢查是否存在
Flag administer=Flag.View|Flag.Edit|Flag.Delete;
public bool Check(Flag administer,Flag mask)
{
bool bReturn = false;
if ((administer & mask) == mask)
bReturn = true;
return bReturn;
}
調用 Check(administer,Flag.Edit)將返回true.
public Flag SetBit(Flag administer,Flag mask)
{
return administer |= mask;
}
administer |= mask;操作相當於 administer = administer |mask;
從枚舉中減去一種狀態
administer &=mask;
如 :
Flag administer=Flag.View|Flag.Edit|Flag.Delete;
如需要禁止刪除權限.
administer &=Flag.Delete;
另外,標記爲flag的枚舉類型,可以不設置值
public enum Flag:long
{
View,
Edit,
Delete
}
如需要設置,按以下規律, View=1,Edit=2,Delete=4,Reply=8按2次方累加,爲什麼會這樣?因爲他使用二進制操作,
當你使用 View=1,Edit=2,Delete=3,Reply=4這樣的值, Flag.Delete 包含的值是Flag.Delete還是View=1|Edit=2就無從檢測了.
每個用戶,可以屬於不同的角色不同的角色分配不同的權限,計算所有解權的所有可能的權限組合,只要有充許的權限,那麼該用戶既獲取該權限。
在CS系統中,Permissions表合用了二個字段來標識權限.
AllowMask,DenyMask 規責是Deny優先,也就是說當權限標記爲Deny那麼不論是否Allow一律禁止該用戶進行此項操作。
另外,像論壇類的權限設計,僅僅一個ApplicationID字段是不夠用的,因爲每個版塊都需要設置不同的權限,來控制權限的粒度,可在增加一張Permission表,ApplicationID修改爲版塊ID
這樣,就可以針對不同的版塊設置不同的權限
好了,接下的問題是怎麼和.net自帶的權限系統掛鉤了。。
在asp.net系統中 ,HttpContext.Current.User實現了一個接口IPrincipal,IPrincipal包含了另一個接口Identity
我們在設計User類的時候繼承此接口
public class User:IPrincipal
{
string username;
public string Username
{
get{return username;}
set{username=value;}
}
}
實現IPrincipal接口方法
public IIdentity Identity
{
get {
if (!string.IsNullOrEmpty(username))
_Identity = new GenericIdentity(username,"Forums");
return (IIdentity)_Identity;
}
}
public bool IsInRole(string role)
{
.....
}
怎樣和asp.net掛鉤呢,這裏可以在登陸時做檢查
if(HttpContext.Current!=null){
User u= Users.GetUser(name);
HttpContext.Current.User =u;
在使用時
User u = HttpContext.Current.User as User;
當然檢查用戶角色可以直接用
if(HttpContext.Current.User.Identity.IsAuthenticated&&HttpContext.Current.User.IsInRole(角色名))
另外可以直接把到當用戶權限策略掛接到當前線程 ,使用以下方法
AppDomain.CurrentDomain.SetPrincipalPolicy(User);
好了,接下來,怎麼check權限?
我傾向於使用Attribute
[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method |
AttributeTargets.Property | AttributeTargets.Delegate, Inherited =
true, AllowMultiple = true)]
public class CheckPermissionAttribute : Attribute
{
int appID;
public int ApplicationID
{
get { return appID; }
set { appID = value; }
}
Permission _allMask;
public Permission AllMask
{
get { return _allMask; }
set { _allMask = value; }
}
public CheckPermissionAttribute(ApplicationID app, Permission allMask)
{
appID = app;
_allMask = allMask;
}
public CheckPermissionAttribute(Permission allMask)
{
_allMask = allMask;
}
}
AttributeUsage 第一個參數表示該屬性可以應用於類,方法,屬性,代理上
Inherited 檢查繼承的權限。
AllowMultiple 充許多次應用。
按下來,設計一個基類,繼承自Page:
public class PageBase : Page
{
Flag _allMask;
/// <summary>
/// 檢查類型權限
/// </summary>
public void CheckClass()
{
Type type = this.GetType();
CheckPermissionAttribute att =
(CheckPermissionAttribute)CheckPermissionAttribute.GetCustomAttribute(type,
typeof(CheckPermissionAttribute));
if (att != null)
{
Check(att.AllMask);
}
}
/// <summary>
/// 檢查函數調用權限
/// </summary>
/// <param name="methodName">方法名</param>
public void CheckMethod(string methodName)
{
Type type = this.GetType();
string name = "*";
if (!string.IsNullOrEmpty(methodName))
name = methodName;
MemberInfo[] mis = type.FindMembers(MemberTypes.Method
,BindingFlags.Instance | BindingFlags.NonPublic | BindingFlags.Public |
BindingFlags.IgnoreCase,Type.FilterNameIgnoreCase,name);
foreach (MethodInfo m in mis)
{
CheckPermissionAttribute att =
(CheckPermissionAttribute)CheckPermissionAttribute.GetCustomAttribute(m,
typeof(CheckPermissionAttribute));
if (att != null)
{
Check(att.AllMask);
}
}
return;
}
public void Check(Flag permissions)
{
if (!CheckPermission(permissions))
{
string url = string.Format("MsgPage.aspx?msg={0}", HttpUtility.UrlEncode("您沒有權限訪問該資源"));
Response.Redirect(url);
}
}
public void Check(ApplicationID appID, Flag permissions)
{
PermissionManager pm= Spaces.PermissionManager.Instance(appType);
if (!CheckPermission(pm,permissions))
{
string url = string.Format("MsgPage.aspx?msg={0}", HttpUtility.UrlEncode("您沒有權限訪問該資源"));
Response.Redirect(url);
}
}
protected override void OnInit(EventArgs e)
{
CheckClass();
base.OnInit(e);
}
}
如何使用:
[CheckPermission(2, Flag.View)]
public partial class MyPage : PageBase
{
}
若沒有查看權限,會自運導向錯誤頁面。
在類上應用挺方便。
方法上應用使用遞歸比較麻煩:
可以調用 CheckMethod(方法名稱);如
[CheckPermission(2, Flag.Delete)]
public partial class MyPage : PageBase
{
public void test()
{
CheckMethod("test");
.......
}
}
這是需要重複勞動的
當然有簡單的方法啦,~_~
在頁面class裏怎麼獲取當前調用的對象的相關信息見博客的另外一篇文章:.http://hi.baidu.com/lingyunj/blog/item/955bab7e7a84c53c0cd7da35.html