当前位置: 移动技术网 > IT编程>开发语言>.net > asp.net core根据用户权限控制页面元素的显示

asp.net core根据用户权限控制页面元素的显示

2019年01月28日  | 移动技术网IT编程  | 我要评论

马蹄莲怎么养,黄昏操,禁室培欲终结篇

asp.net core根据用户权限控制页面元素的显示

intro

在 web 应用中我们经常需要根据用户的不同允许用户访问不同的资源,显示不同的内容,之前做了一个 accesscontrolhelper 的项目,就是解决这个问题的。

asp.net core 支持 taghelper 和 基于 policy 的认证

accesscontrolhelper 从1.4.0 版本开始支持 taghelper 和 基于 policy 的认证

taghelper 用法

在 views 目录下的 ~viewimport.cshtml 中加入 taghelper 引用

@addtaghelper *, weihanli.aspnetmvc.accesscontrolhelper

在需要有权限才能访问的元素上加上 asp-access ,支持自定义一个key,如果有特殊的key可以设置 asp-access-key,下面有个示例

     <ul class="list-group" asp-access asp-access-key="12334">
            <li role="separator" class="list-unstyled">
                <br />
            </li>
            <li class="list-group-item">@html.actionlink("用户管理", "userlist", "account")</li>

            <li class="list-group-item">@html.actionlink("操作日志查看", "index", "operationlog")</li>
            <li class="list-group-item">@html.actionlink("系统设置管理", "index", "systemsettings")</li>
            <li class="list-group-item">
                @html.actionlink("微信设置管理", "index", new {
                controller = "config",
                area = "wechat"
            })
            </li>
        </ul>

示例代码完整源码

实现自己的访问策略

可以参考这个项目的实现 https://github.com/weihanli/activityreservation/blob/dev/activityreservation.helper/services/permissionrequirestrategy.cs

using microsoft.aspnetcore.http;
using microsoft.aspnetcore.mvc;
using weihanli.aspnetmvc.accesscontrolhelper;
using weihanli.common.models;

namespace activityreservation.filters
{
    public class adminpermissionrequirestrategy : iactionaccessstrategy
    {
        private readonly ihttpcontextaccessor _accessor;

        public adminpermissionrequirestrategy(ihttpcontextaccessor accessor)
        {
            _accessor = accessor;
        }

        public bool iscanaccess(string accesskey)
        {
            var user = _accessor.httpcontext.user;
            return user.identity.isauthenticated && user.isinrole("admin");
        }

        public iactionresult disallowedcommonresult => new contentresult
        {
            content = "no permission",
            contenttype = "text/plain",
            statuscode = 403
        };

        public iactionresult disallowedajaxresult => new jsonresult(new jsonresultmodel
        {
            errormsg = "no permission",
            status = jsonresultstatus.nopermission
        });
    }

    public class adminonlycontrolaccessstragety : icontrolaccessstrategy
    {
        private readonly ihttpcontextaccessor _accessor;

        public adminonlycontrolaccessstragety(ihttpcontextaccessor httpcontextaccessor) => _accessor = httpcontextaccessor;

        public bool iscontrolcanaccess(string accesskey)
        {
            var user = _accessor.httpcontext.user;
            return user.identity.isauthenticated && user.isinrole("admin");
        }
    }
}

这个示例实现的比较简单,只是判断了一下是否有 admin 角色,可以根据实际情况根据请求的地址以及当前登录用户及其它可能用到的信息去判断是否有权限访问。

注册服务

在 startup 文件中 configureservices 中注册权限服务,注册自己的访问策略

// register access control service
services.addaccesscontrolhelper<filters.adminpermissionrequirestrategy, filters.adminonlycontrolaccessstragety>();

policy 访问使用

在需要设置权限的 action 或者 controller 上加 [authorize("accesscontrol")] 或者 [authorization(policy="accesscontrol")]

这两种方式是 asp.net core 下支持的 policy 方式使用
也支持比较传统的直接使用 [accesscontrol]accesscontrolnoaccesscontrol 可以搭配使用, 类似于 authorizeallowanoymous

taghelper 使用效果实例

测试登录地址

普通用户: alice/test1234
管理员: admin/admin888

查看后台首页

管理员用户登录看到的界面:

admin-user

普通用户登录看到的界面:

common-user

reference

您可能感兴趣的文章:

如对本文有疑问,请在下面进行留言讨论,广大热心网友会与你互动!! 点击进行留言回复

相关文章:

验证码:
最近更新的文章
大家感兴趣的文章
移动技术网