解开EAS权限与角色之迷

2007年11月29日 星期四 下午 02:23

前些时间做了个EAS的项目,里面用到了很多高深的东西,如:面象服务的开发,框架等,最近看了下其中的权限,发现这种权限其实我也用过的,不过EAS里面用得更好,体现得更加的完美,以下对这一块作出分析. 在项目中,访问某一个页面的时候是有权限验证的,当然权限肯定是开发完成后固定的,不然的话肯定是无法控制的,而角色是可变的,在项目中通过角色对应不同的权限,而用户属于某一个角色,这样来控制登录系统的每一个用户的访问权限,并且,当须要特定的权限集合时,可以增加一个角色,把相应的用户归属到这个角色就完成了,原理就是这样. 其中有几个对象要注意一下:用户,角色,权限;用户和角色关系,角色和权限关系;以下分别说明: 用户属性: Oid 主键 UserName 用户名 DisplayName 显示名 Password 密码 IsValid 是否有效 其它不相关属性就不列举了, 角色属性; Oid 主键. RoleName 角色名称 权限属性: Oid 主键 Code 权限代码 PermissionName 权限名称 Description 描述 用户和角色关系: Oid 主键 RoleOid 角色ID UserOid 用户ID 角色和权限关系: Oid 主键 RoleOid 角色ID PermissionOid 权限ID 几者之间的关系就是这样,最先完善的是权限表,把项目各个模块要用到的权限写成类,每一个权限可写成常量,这样方便使用,如: public class HRMPermissions     {         public const string LandingHRM = "EAS.HRM.Landing";         public const string ViewEmployee = "EAS.HRM.ViewEmployee";         public const string CreateEmployee = "EAS.HRM.ViewEmployee.Create";         public const string UpdateEmployee = "EAS.HRM.ViewEmployee.Update";         public const string DeleteEmployee = "EAS.HRM.ViewEmployee.Delete"; } 完成之后,再到权限表里添加相应的权限,可以直接写SQL,这里要注意.要把权限代码写进数据库,其实这样只是为了表示方便而已,没什么特殊的意义, 这时,当添加一个角色,就要做几件事, 1)、在角色表添加一条数据， 2）、为角色分配下属用户（如已存在用户），逻辑中在用户和角色表中添加数据，当然用户可同时属于多个角色； 3）、为角色分配权限，逻辑操作角色和权限表，存入角色ID和权限ID，完事。 这样，在页面中，通过一个用户的信息，可以取出它所属的角色，通过这个角色，进一步获取它对应的权限，这样就可以判断当前用户能否访问这样页面了， 但是，传统的做法是把用户的信息存在一个Session里面，在判断用户的时候，是先把这个Session转为一个自定义的对象，再去验证这个用户的信息，如：用户没登录就转到登录页，登录后再转回来，这样的话就要在每个页面中对Session进行操作，实在是有些不方便，在EAS项目中解决了这个问题，方法如下： 一、解决起始页问题：大意就是没有登录的用户是不能打开除登录页之外的页面的，登录之后，再转到这个页面去，做法：在配置文件中加两个配置节点： 1）、<authentication mode="Forms">       <forms loginUrl="~/NewFolder1/Default.aspx" protection="All" defaultUrl="~/NewFolder2/MemberPages.aspx" timeout="30"></forms>     </authentication> 这里是Login的地址、保护内容、默认页,模式为Forms模式，loginUrl是默认的登录页，在没登录之前，试图打开页面时，都会转到这里来，protection是保护内容，这里一般设为All，defaultUrl一般设为系统的主页， 2）、<!-- 授权信息-->     <authorization>       <!-- 设置需要进行授权的用户为所有用户 -->             <!--<allow users="?"/>-->       <deny users="?"/>     </authorization> 这里的allow 表示允许绕过登录验证的用户，？表示只要是非匿名的都可以,*表示全部用户，deny 表示未经登录验证不能进入系统的用户，？表示匿名用户不能进，*表示所有用户都不能进 关于这两个节点的详细使用，我也是个菜鸟，只知其中皮毛，有请高手指点！！谢谢！！ 写完之后，可以试一下，当打开每一个页面时，都会自动转到loginUrl来，并且你可以看到URL上还有一个参数returnUrl，它表示了你当前打开的页面；这时候，要想通过什么方法来登录进入下一个页面呢？ 这里就要用到页面User这个东西了，很多人可能都注意到了，在每一个aspx的页面里，都有一个this.User，但是它是只读的，里面有几个方法，详细我也不会~~怎么能给它付值呢，直接付是不可能的了，研究了下EAS，发现过程是这样的： FormsAuthenticationTicket ticket = new FormsAuthenticationTicket("userName", true, 100000); 这是一个窗体票据验证，userName可以换成用户的ID比较好，时间是这个验证的有效时间， string encrytTicket = FormsAuthentication.Encrypt(ticket);         HttpCookie authCookie = new HttpCookie(FormsAuthentication.FormsCookieName, encrytTicket);         this.Response.Cookies.Add(authCookie); 这里加密这个票据并放到Cookies里面，但是不知道为什么，在另一个页面中是取不到这个Cookies的， 通过这样几行简单的代码，就可以发现User里有值了，Name就是userName，那么在页面上就可以不用Session而用this.User了，这里补充几行代码： string url = string.Empty;         url = this.Request.QueryString["returnUrl"];         if (string.IsNullOrEmpty(url))         {             Response.Redirect(FormsAuthentication.DefaultUrl);//转到系统主页,配置文件中的defaultUrl         }         else         {             Response.Redirect(url);         } User.Identity.IsAuthenticated，表示用户的登录状态，BOOL型 到这里，页面上可以取到登录的用户了，也可以通过权限集合类的常量取到权限代码了，接下来就是怎么进行验证，这里EAS的架构师写了一个类（为了方便，只写接口）： bool HasPermission(IPrincipal user, string permissionCode)//传入this.User,权限代码 MyUser CurrentUser(IPrincipal user) //获取当前自定义用户 这样就可以通过HasPermission方法处理一堆的逻辑（略），来判断用户是否拥有这个权限了， 注意：这里的权限验证类最好是用单列模式，保证其全局性， private readonly static Security instance = new Security(); public static Security Instance         {             get             {                 return instance;             }         } 以上是我个人心得和体会，关于其中知识点的不足之处请指点，