asp.net core專案mvc權限控制 分配權限的圖文詳情

學習的最好方法就是動手去做，這裡以開發一個普通的權限管理系統的方式來從零體驗和學習Asp.net Core。專案的整體規劃大致如下

前面的文章介紹如何進行權限控制，也就是存取控制器或方法的時候，要求目前使用者必須具備特定的權限，但是如何在程式中進行權限的分配呢？以下就介紹下如何利用Microsoft.AspNetCore.Identity.EntityFrameworkCore框架進行權限指派。

在介紹分配方法之前，我們必須理解權限關係，這裡面涉及到三個物件：用戶，角色，權限，權限分配到角色，角色再分配到用戶，當某個用戶屬於某個角色後，這個使用者就具有了角色所包含的權限列表，例如現在有一個資訊管理員角色，這個角色包含了資訊刪除權限，當張三這個使用者俱有資訊管理員角色後，張三就具備了資訊刪除的權限。在某些特殊場景下，權限也可以直接分配到用戶，也就是說可以直接把某些特定的權限，繞過角色，直接分配給用戶。 Microsoft.AspNetCore.Identity.EntityFrameworkCore框架中都提供了這樣的支援。

先把框架中主要的業務物件類別介紹一下：

IdentityUser：表示一個使用者資訊

IdentityRole：表示一個角色資訊

IdentityRoleClaim2df2626147307f3cd68ded359a0418cf:表示角色具有的權限

IdentityUserClaim7c013bef549e108856916cfbe0707d60:表示使用者擁有的權限

IdentityUserRole7c013bef549e108856916cfbe0707d60：表示使用者角色關係

基本概念理解後，下面我們就來看看如何進行權限分配。

1，分配權限到角色：Microsoft.AspNetCore.Identity.EntityFrameworkCore中提供了RoleManager類，類別中提供了把權限指派到角色的方法：

　　Task9b1f9e47eb1620cf27a98765de10fb89 AddClaimAsync( TRole role, Claim claim)

　　第一個參數表示對應的角色對象，第二個參數表示一個權限資訊

2，分配權限到使用者：Microsoft.AspNetCore.Identity.EntityFrameworkCore中提供了UserManager類，類別中提供了把權限分配到使用者的方法：

　　Task9b1f9e47eb1620cf27a98765de10fb89 AddClaimAsync(TUser user, Claim claim)

　　##　　##　　第一個參數所表示的使用者第一個參數對應的使用者對象，第二個參數表示一個權限資訊

3，分配使用者到角色：用到的同樣是UserManager類，使用的方法：

　　AddToRoleAsync(TUser user, string role)

　　第一個參數表示的是使用者對象，第二個是角色的名稱

4，取得角色目前具有的權限清單：

　Taskfebce605adaafd9dd572348f5a5bf2a8 > RoleManager.GetClaimsAsync(TRole role)

5，取得使用者目前具有的權限清單：

　Taskfebce605adaafd9dd572348f5a5bf2a8> UserManager.GetClaimsAsync(TUser user)

user user)

##透過這樣的方式就可以完成權限分配全過程，再結合前面的權限控制方法，系統就實現了完成的權限控制邏輯。

那現在的問題來了，權限清單從什麼地方來？一般來說，一個業務系統功能確定後，對應的權限清單也自然就確定了，再實現分配權限到角色，分配權限到用戶的功能時，只需要在頁面上把所有的權限列出來進行選擇即可，效果圖如下：

把選擇的資料呼叫對應的方法儲存即可。

這個問題解決了，但是新的問題又來了。如果說一個業務功能點特別多，自然會導致權限也會很多，如果完全透過手工的方式寫到頁面上，那自然工作量會很大很大，再者業務系統可能會不斷地變化，這個時候也會去不斷地修改​​權限分配頁面，這自然不是一個好的方法，下面我會跟大家說一個我想的一個方法，不一定是最好的，但是能省很大的事。

首秀我們需要解決的問題是，如何快速產生這個權限配置清單。

思路就是改造AuthorizeAttribute，在這個特性基礎上增加權限描述訊息，用權限描述訊息作為Policy。下面直接上程式碼：

[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, AllowMultiple = true, Inherited =true)]　　//类名称可以改，因为我把系统操作当作资源来管理
  public class ResourceAttribute:AuthorizeAttribute
  {
    private string _resouceName;
    private string _action;
    public ResourceAttribute(string name)
    {
      if (string.IsNullOrEmpty(name))
      {
        throw new ArgumentNullException(nameof(name));
      }
      _resouceName = name;
　　　　　　　//把资源名称设置成Policy名称
      Policy = _resouceName;
    }
 
    public string GetResource()
    {
      return _resouceName;
    }
    public string Action
    {
      get
      {
        return _action;
      }
      set
      {
        _action = value;
        if (!string.IsNullOrEmpty(value))
        {　　　　　　　　　　　　//把资源名称跟操作名称组装成Policy
          Policy = _resouceName + "-" + value;
        }
      }
    }
  }

類別已經定義好了，那我們就看看如何使用，因為是特性定義，所以可以在控制器類別或者方法上依照下面結構使用：

[Resource("組織架構", Action = "新增部門")]

到這裡基礎工作已經做完，下面還有兩個問題需要解決：

1，Policy現在只是配置了名稱，但是具體驗證規則沒有定義

2，如何取得所有的權限清單

先来看第一个问题，前面的文章介绍了，Policy需要提前在startup里通过AddAuthorization进行配置，但是现在我们并没有做这样的步骤,所以目前权限还不会起作用。框架在权限验证的时候，会依赖一个IAuthorizationPolicyProvider来根据Policy名称获取具体的规则，自然我们会想到自定义一个IAuthorizationPolicyProvider实现，代码如下：

public class ResourceAuthorizationPolicyProvider : IAuthorizationPolicyProvider
  {
    private AuthorizationOptions _options;
    public ResourceAuthorizationPolicyProvider(IOptions<authorizationoptions> options)
    {
      if (options == null)
      {
        throw new ArgumentNullException(nameof(options));
      }
 
      _options = options.Value;
    }
    public Task<authorizationpolicy> GetDefaultPolicyAsync()
    {
      return Task.FromResult(_options.DefaultPolicy);
    }
　　
    public Task<authorizationpolicy> GetPolicyAsync(string policyName)
    {
      AuthorizationPolicy policy = _options.GetPolicy(policyName);　　　　　　　//因为我们policy的名称其实就是对应的权限名称，所以可以用下列逻辑返回需要的验证规则
      if (policy == null)
      {
        string[] resourceValues = policyName.Split(new char[] { &#39;-&#39; }, StringSplitOptions.None);
        if (resourceValues.Length == 1)
        {
          _options.AddPolicy(policyName, builder =>
          {
            builder.AddRequirements(new ClaimsAuthorizationRequirement(resourceValues[0], null));
          });
        }
        else
        {
          _options.AddPolicy(policyName, builder =>
          {
            builder.AddRequirements(new ClaimsAuthorizationRequirement(resourceValues[0], new string[] { resourceValues[1] }));
          });
        }
      }
      return Task.FromResult(_options.GetPolicy(policyName));
    }
  }
</authorizationpolicy></authorizationpolicy></authorizationoptions>

实现了IAuthorizationPolicyProvider，我们就需要在startup.cs的ConfigureServices(IServiceCollection services)方法中进行注册，操作如下：

复制代码 代码如下:

services.TryAdd(ServiceDescriptor.Transientd35cc227e13486608ede2963927abb51());

再来看第二个问题，我们已经在控制器或者方法上定义了权限信息，关键是我们如何从这些特性里获取到权限列表，将来用于权限分配的时候使用。在asp.net core mvc中提供了一个类解析机制，IApplicationModelProvider，这个依赖信息比较多，这里就不过多介绍，后续我会单独开一个系列，介绍asp.net core mvc的内部机制。

直接上代码

public class ResourceApplicationModelProvider : IApplicationModelProvider
  {
    private readonly IAuthorizationPolicyProvider _policyProvider;
 
    public ResourceApplicationModelProvider(IAuthorizationPolicyProvider policyProvider)
    {
      _policyProvider = policyProvider;
    }
     
 
    public void OnProvidersExecuted(ApplicationModelProviderContext context)
    {
      
    }
 
    public void OnProvidersExecuting(ApplicationModelProviderContext context)
    {
      if (context == null)
      {
        throw new ArgumentNullException(nameof(context));
      }
 
      List<resourceattribute> attributeData = new List<resourceattribute>();　　　　　　　　//循环获取所有的控制器
      foreach (var controllerModel in context.Result.Controllers)
      {　　　　　　　　//得到ResourceAttribute
        var resourceData = controllerModel.Attributes.OfType<resourceattribute>().ToArray();
        if (resourceData.Length > 0)
        {
          attributeData.AddRange(resourceData);
        }
　　　　　　　　　　//循环控制器方法
        foreach (var actionModel in controllerModel.Actions)
        {          //得到方法的ResourceAttribute
          var actionResourceData = actionModel.Attributes.OfType<resourceattribute>().ToArray();
          if (actionResourceData.Length > 0)
          {
            attributeData.AddRange(actionResourceData);
          }
        }
      }
　　　　　　　//把所有的resourceattribute的信息写到一个全局的resourcedata中，resourcedata就可以在其他地方进行使用，resourcedata定义后面补充　
      foreach (var item in attributeData)
      {
        ResourceData.AddResource(item.GetResource(), item.Action);
      }
    }
 
    public int Order { get { return -1000 + 11; } }
  }
</resourceattribute></resourceattribute></resourceattribute></resourceattribute>

resourcedata定义如下

public class ResourceData
  {
    static ResourceData()
    {
      Resources = new Dictionary<string, List<string>>();
    }
 
    public static void AddResource(string name)
    {
      AddResource(name, "");
    }
 
    public static void AddResource(string name,string action)
    {
      if (string.IsNullOrEmpty(name))
      {
        return;
      }
      if (!Resources.ContainsKey(name))
      {
        Resources.Add(name, new List<string>());
      }
 
      if (!string.IsNullOrEmpty(action) && !Resources[name].Contains(action))
      {
        Resources[name].Add(action);
      }
    }
 
    public static Dictionary<string, List<string>> Resources { get; set; }
  }

　然后在startup中注册我们刚刚定义的IApplicationModelProvider：

复制代码 代码如下:

services.TryAddEnumerable(ServiceDescriptor.Transient<IApplicationModelProvider, ResourceApplicationModelProvider>());

　然后在权限分配页面通过ResourceData.Resources就获取到了所有的权限信息，然后通过循环的方式直接显示到页面上即可。　

终于写完了，哈哈~~

以上就是asp.net core项目mvc权限控制 分配权限的图文详情的内容，更多相关内容请关注PHP中文网（www.php.cn）！