ASP.NET 系列：RBAC权限设计 - #王刚(2)_H5之家 - 中国HTML5教程资源分享第一站

public class MvcApplication : System.Web.HttpApplication { protected void Application_Start() { RBACContext.SetRBACUser(u => { return new RBACUser { UserName = u, Roles = new List<RBACRole> { new RBACRole { RoleName=, Permissions = new List<RBACPermission> { new RBACPermission { PermissionName= } } } } }; }); DelegeteRoleProvider.SetGetRolesForUser(userName => RBACContext.GetRBACUser(userName).Roles.SelectMany(o => o.Permissions).Select(p => p.PermissionName).ToArray()); DelegeteRoleProvider.SetIsUserInRole((userName, roleName) => RBACContext.GetRBACUser(userName).Roles.SelectMany(o => o.Permissions).Any(p => p.PermissionName == roleName)); AreaRegistration.RegisterAllAreas(); RouteConfig.RegisterRoutes(RouteTable.Routes); } }

5.在ASP.NET MVC中通过.NET API使用

User.IsInRole和AuthorizeAttribute此时都可以使用，我们已经完成了一个RBAC权限中间层，即隔离了不同系统的具体实现，也不用使用新的API调用。如果是服务层，使用Thread.CurrentPrincipal.IsInRole和PrincipalPermissionAttribute。

namespace RBACExample.Controllers { public class HomeController : Controller { public ActionResult Login(string returnUrl) { FormsAuthentication.SetAuthCookie(, false); return Redirect(returnUrl); } public ActionResult Logoff() { FormsAuthentication.SignOut(); ); } public ActionResult Index() { ); } [Authorize] public ActionResult Account() { , User.Identity.IsAuthenticated)); } [Authorize(Roles = )] public ActionResult Admin() { , User.IsInRole())); } } }

6.扩展AuthorizeAttribute，统一配置授权

AuthorizeAttribute的使用将授权分散在多个Controller中，我们可以扩展AuthorizeAttribute，自定义一个MvcAuthorizeAttribute，以静态字典保存配置，这样就可以通过代码、配置文件或数据库等方式读取配置再存放到字典中，实现动态配置。此时可以从Controller中移除AuthorizeAttribute。如前文所述，客户端的访问控制与权限的匹配应该存储到客户端为最佳，即使存放到数据库也不要关联权限相关的表。

namespace RBACExample.RBAC { public class MvcAuthorizeAttribute : AuthorizeAttribute { private static Dictionary<string, string> _ActionRoleMapping = new Dictionary<string, string>(); AddConfig(string controllerAction, params string[] roles) { var rolesString = string.Empty; roles.ToList().ForEach(r => rolesString += + r); rolesString = rolesString.TrimStart(); _ActionRoleMapping.Add(controllerAction, rolesString); } OnAuthorization(AuthorizationContext filterContext) { , filterContext.ActionDescriptor.ControllerDescriptor.ControllerName, filterContext.ActionDescriptor.ActionName); if (_ActionRoleMapping.ContainsKey(key)) { this.Roles = _ActionRoleMapping[key]; base.OnAuthorization(filterContext); } } } }

通过GlobalFilterCollection配置将MvcAuthorizeAttribute配置为全局Filter。

RegisterGlobalFilters(GlobalFilterCollection filters) { filters.Add(new HandleErrorAttribute()); MvcAuthorizeAttribute.AddConfig(); MvcAuthorizeAttribute.AddConfig(, Permission.AdminPermission); filters.Add(new MvcAuthorizeAttribute()); }

7.按需设计实体类

当RBAC模型不直接依赖实体类时，实体类可以按需设计，不再需要为了迁就RBAC的关联引入过多的实体，可以真正做到具体问题具体分析，不需要什么系统都上Role、Permission等实体类，对于角色稳定的系统，既减少了系统的复杂度，也减少了大量后台的功能实现，也简化了后台的操作，不用什么系统都上一套用户头疼培训人员也头疼的权限中心。

(1)使用属性判断权限的系统

有些系统，比如个人博客，只有一个管理员角色admin，admin角色是稳定的权限不变的，所以既不需要考虑使用多个角色也不需要再进行权限抽象，因此使用User.IsAdmin属性代替Role和Permission就可以，没必要再使用Role和Permission实体类，增大代码量。后台进行权限管理只需要实现属性的编辑。

RBACContext.SetRBACUser(u => { , IsAdmin = true }; var rbacUser = new RBACUser { UserName = user.UserName }; if (user.IsAdmin) { rbacUser.Roles.Add(new RBACRole { RoleName = , Permissions = new List<RBACPermission> {new RBACPermission { PermissionName= } } }); } return rbacUser; });

(2)使用角色判断权限的系统