ASP.NET MVC实践:实现身份验证权限管理-技术开发专区

ASP.NET MVC实践:实现身份验证权限管理

作者：鹤冲天编辑：胡铭娅 2010-10-28 11:46 来源：鹤冲天的博客

【IT168 技术文档】ASP.NET MVC 建立 ASP.NET 基础之上，很多 ASP.NET 的特性(如窗体身份验证、成员资格)在 MVC 中可以直接使用。本文旨在提供可参考的代码，不会涉及这方面太多理论的知识。

　　本文仅使用 ASP.NET 的窗体身份验证，不会使用它的成员资格(Membership) 和角色管理 (RoleManager)，原因有二：一是不灵活，二是和 MVC 关系不太。

　　一、示例项目

示例项目

　　User.cs 是模型文件，其中包含了 User 类：

public class User
{
    public int ID { get; set; }
    public string Name { get; set; }
    public string Password { get; set; }
    public string[] Roles { get; set;  }
}

　　UserRepository 为数据存取类，为了演示方便，并没有连接数据库，而是使用一个数组来作为数据源：

public class UserRepository
{
    private static User[] usersForTest = new[]{
        new User{ ID = 1, Name = "bob", Password = "bob", Roles = new []{"employee"}},
        new User{ ID = 2, Name = "tom", Password = "tom", Roles = new []{"manager"}},
        new User{ ID = 3, Name = "admin", Password = "admin", Roles = new[]{"admin"}},
    };

    public bool ValidateUser(string userName, string password)
    {
        return usersForTest
            .Any(u => u.Name == userName && u.Password == password);
    }

    public string[] GetRoles(string userName)
    {
        return usersForTest
            .Where(u => u.Name == userName)
            .Select(u => u.Roles)
            .FirstOrDefault();
    }

    public User GetByNameAndPassword(string name, string password)
    {
        return usersForTest
            .FirstOrDefault(u => u.Name == name && u.Password == password);
    }
}

　　二、用户登录及身份验证

　　方式一

　　修改 AccountController：原有 AccountController 为了实现控制反转，对窗体身份验证进行了抽象。为了演示方便，我去除了这部分(以及注册及修改密码部分)：

public class AccountController : Controller
{
    private UserRepository repository = new UserRepository();

    public ActionResult LogOn()
    {
        return View();
    }

    [HttpPost]
    public ActionResult LogOn(LogOnModel model, string returnUrl)
    {
        if (ModelState.IsValid)
        {
            if (repository.ValidateUser(model.UserName, model.Password))
            {
                FormsAuthentication.SetAuthCookie(model.UserName, model.RememberMe);
                if (!String.IsNullOrEmpty(returnUrl)) return Redirect(returnUrl);
                else return RedirectToAction("Index", "Home");
            }
            else
                ModelState.AddModelError("", "用户名或密码不正确！");
        }
        return View(model);
    }

    public ActionResult LogOff()
    {
        FormsAuthentication.SignOut();
        return RedirectToAction("Index", "Home");
    }
}

　　修改 Global.asax：

public class MvcApplication : System.Web.HttpApplication
{
    public MvcApplication()
    {
        AuthorizeRequest += new EventHandler(MvcApplication_AuthorizeRequest);
    }

    void MvcApplication_AuthorizeRequest(object sender, EventArgs e)
    {
        IIdentity id = Context.User.Identity;
        if (id.IsAuthenticated)
        {
            var roles = new UserRepository().GetRoles(id.Name);
            Context.User = new GenericPrincipal(id, roles);
        }
    }
    //...
}

　　给 MvcApplication 增加构造函数，在其中增加 AuthorizeRequest 事件的处理函数。

　　代码下载：Mvc-FormsAuthentication-RolesAuthorization-1.rar (243KB)　

第1页：示例项目第2页：角色权限

关注我们