asp.net core项目mvc权限控制：分配权限

前面的文章介绍了如何进行权限控制，即访问控制器或者方法的时候，要求当前用户必须具备特定的权限，但是如何在程序中进行权限的分配呢？下面就介绍下如何利用Microsoft.AspNetCore.Identity.EntityFrameworkCore框架进行权限分配。

在介绍分配方法之前，我们必须理解权限关系，这里面涉及到三个对象：用户，角色，权限，权限分配到角色，角色再分配到用户，当某个用户属于某个角色后，这个用户就具有了角色所包含的权限列表，比如现在有一个信息管理员角色，这个角色包含了信息删除权限，当张三这个用户具有信息管理员角色后，张三就具备了信息删除的权限。在某些特殊场景下，权限也可以直接分配到用户，也就是说可以直接把某些特定的权限，绕过角色，直接分配给用户。Microsoft.AspNetCore.Identity.EntityFrameworkCore框架中都提供了这样的支持。

先把框架中主要的业务对象类介绍一下：

IdentityUser：表示一个用户信息

IdentityRole：表示一个角色信息

IdentityRoleClaim<TKey>:表示角色具有的权限

IdentityUserClaim<TKey>:表示用户具有的权限

IdentityUserRole<TKey>：表示用户角色关系

基本概念理解后，下面我们就来看一下如何进行权限分配。

1，分配权限到角色：Microsoft.AspNetCore.Identity.EntityFrameworkCore中提供了RoleManager类，类中提供了把权限分配到角色的方法：

　　Task<IdentityResult> AddClaimAsync(TRole role, Claim claim)

　　第一个参数表示对应的角色对象，第二个参数表示一个权限信息

2，分配权限到用户：Microsoft.AspNetCore.Identity.EntityFrameworkCore中提供了UserManager类，类中提供了把权限分配到用户的方法：

　　Task<IdentityResult> AddClaimAsync(TUser user, Claim claim)

　　第一个参数表示对应的用户对象，第二个参数表示一个权限信息

3，分配用户到角色：用到的同样是UserManager类，使用的方法：

　　AddToRoleAsync(TUser user, string role)

　　第一个参数表示的是用户对象，第二个是角色的名称

4，获取角色当前具有的权限列表：

　Task<IList<Claim>> RoleManager.GetClaimsAsync(TRole role)

5，获取用户当前具有的权限列表：

　Task<IList<Claim>> UserManager.GetClaimsAsync(TUser user)

通过这样的方式就可以完成权限分配全过程，再结合前面的权限控制方法，系统就实现了完成的权限控制逻辑。

那现在的问题来了，权限列表从什么地方来？一般来说，一个业务系统功能确定后，对应的权限列表也自然就确定了，再实现分配权限到角色，分配权限到用户的功能时，只需要在页面上把所有的权限列出来进行选择即可，效果图如下：

把选择的数据调用对应的方法保存即可。

这个问题解决了，但是新的问题又来了。如果说一个业务功能点特别多，自然会导致权限也会很多，如果完全通过手工的方式写到页面上，那自然工作量会很大很大，再者业务系统可能会不断地变化，这个时候也会去不断地修改权限分配页面，这自然不是一个好的方法，下面我给大家说一个我想的一个方法，不一定是最好的，但是能省很大的事。

首秀我们需要解决的问题是，如何快速生成这个权限配置列表。

思路就是改造AuthorizeAttribute，在这个特性基础上增加权限描述信息，用权限描述信息作为Policy。下面直接上代码：

[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, AllowMultiple = true, Inherited =true)]　　//类名称可以改，因为我把系统操作当作资源来管理
  public class ResourceAttribute:AuthorizeAttribute
  {
    private string _resouceName;
    private string _action;
    public ResourceAttribute(string name)
    {
      if (string.IsNullOrEmpty(name))
      {
        throw new ArgumentNullException(nameof(name));
      }
      _resouceName = name;
　　　　　　　//把资源名称设置成Policy名称
      Policy = _resouceName;
    }
 
    public string GetResource()
    {
      return _resouceName;
    }
    public string Action
    {
      get
      {
        return _action;
      }
      set
      {
        _action = value;
        if (!string.IsNullOrEmpty(value))
        {　　　　　　　　　　　　//把资源名称跟操作名称组装成Policy
          Policy = _resouceName + "-" + value;
        }
      }
    }
  }

类已经定义好了，那我们就看看如何使用，因为是特性定义，所以可以在控制器类或者方法上按照下面结构使用：

[Resource("组织架构", Action = "添加部门")]

到这里基础工作已经做完，下面还有两个问题需要解决：

1，Policy现在只是配置了名称，但是具体验证规则没有定义

2，如何获取所有的权限列表

先来看第一个问题，前面的文章介绍了，Policy需要提前在startup里通过AddAuthorization进行配置，但是现在我们并没有做这样的步骤,所以目前权限还不会起作用。框架在权限验证的时候，会依赖一个IAuthorizationPolicyProvider来根据Policy名称获取具体的规则，自然我们会想到自定义一个IAuthorizationPolicyProvider实现，代码如下：

public class ResourceAuthorizationPolicyProvider : IAuthorizationPolicyProvider
  {
    private AuthorizationOptions _options;
    public ResourceAuthorizationPolicyProvider(IOptions<authorizationoptions> options)
    {
      if (options == null)
      {
        throw new ArgumentNullException(nameof(options));
      }
 
      _options = options.Value;
    }
    public Task<authorizationpolicy> GetDefaultPolicyAsync()
    {
      return Task.FromResult(_options.DefaultPolicy);
    }
　　
    public Task<authorizationpolicy> GetPolicyAsync(string policyName)
    {
      AuthorizationPolicy policy = _options.GetPolicy(policyName);　　　　　　　//因为我们policy的名称其实就是对应的权限名称，所以可以用下列逻辑返回需要的验证规则
      if (policy == null)
      {
        string[] resourceValues = policyName.Split(new char[] { '-' }, StringSplitOptions.None);
        if (resourceValues.Length == 1)
        {
          _options.AddPolicy(policyName, builder =>
          {
            builder.AddRequirements(new ClaimsAuthorizationRequirement(resourceValues[0], null));
          });
        }
        else
        {
          _options.AddPolicy(policyName, builder =>
          {
            builder.AddRequirements(new ClaimsAuthorizationRequirement(resourceValues[0], new string[] { resourceValues[1] }));
          });
        }
      }
      return Task.FromResult(_options.GetPolicy(policyName));
    }
  }
</authorizationpolicy></authorizationpolicy></authorizationoptions>

实现了IAuthorizationPolicyProvider，我们就需要在startup.cs的ConfigureServices(IServiceCollection services)方法中进行注册，操作如下：

复制代码 代码如下:services.TryAdd(ServiceDescriptor.Transient<IAuthorizationPolicyProvider, ResourceAuthorizationPolicyProvider>());

再来看第二个问题，我们已经在控制器或者方法上定义了权限信息，关键是我们如何从这些特性里获取到权限列表，将来用于权限分配的时候使用。在asp.net core mvc中提供了一个类解析机制，IApplicationModelProvider，这个依赖信息比较多，这里就不过多介绍，后续我会单独开一个系列，介绍asp.net core mvc的内部机制。

直接上代码

public class ResourceApplicationModelProvider : IApplicationModelProvider
  {
    private readonly IAuthorizationPolicyProvider _policyProvider;
 
    public ResourceApplicationModelProvider(IAuthorizationPolicyProvider policyProvider)
    {
      _policyProvider = policyProvider;
    }
     
 
    public void OnProvidersExecuted(ApplicationModelProviderContext context)
    {
      
    }
 
    public void OnProvidersExecuting(ApplicationModelProviderContext context)
    {
      if (context == null)
      {
        throw new ArgumentNullException(nameof(context));
      }
 
      List<resourceattribute> attributeData = new List<resourceattribute>();　　　　　　　　//循环获取所有的控制器
      foreach (var controllerModel in context.Result.Controllers)
      {　　　　　　　　//得到ResourceAttribute
        var resourceData = controllerModel.Attributes.OfType<resourceattribute>().ToArray();
        if (resourceData.Length > 0)
        {
          attributeData.AddRange(resourceData);
        }
　　　　　　　　　　//循环控制器方法
        foreach (var actionModel in controllerModel.Actions)
        {          //得到方法的ResourceAttribute
          var actionResourceData = actionModel.Attributes.OfType<resourceattribute>().ToArray();
          if (actionResourceData.Length > 0)
          {
            attributeData.AddRange(actionResourceData);
          }
        }
      }
　　　　　　　//把所有的resourceattribute的信息写到一个全局的resourcedata中，resourcedata就可以在其他地方进行使用，resourcedata定义后面补充　
      foreach (var item in attributeData)
      {
        ResourceData.AddResource(item.GetResource(), item.Action);
      }
    }
 
    public int Order { get { return -1000 + 11; } }
  }
</resourceattribute></resourceattribute></resourceattribute></resourceattribute>

resourcedata定义如下

public class ResourceData
  {
    static ResourceData()
    {
      Resources = new Dictionary<string, List<string>>();
    }
 
    public static void AddResource(string name)
    {
      AddResource(name, "");
    }
 
    public static void AddResource(string name,string action)
    {
      if (string.IsNullOrEmpty(name))
      {
        return;
      }
      if (!Resources.ContainsKey(name))
      {
        Resources.Add(name, new List<string>());
      }
 
      if (!string.IsNullOrEmpty(action) && !Resources[name].Contains(action))
      {
        Resources[name].Add(action);
      }
    }
 
    public static Dictionary<string, List<string>> Resources { get; set; }
  }

　然后在startup中注册我们刚刚定义的IApplicationModelProvider：

复制代码 代码如下:services.TryAddEnumerable(ServiceDescriptor.Transient<IApplicationModelProvider, ResourceApplicationModelProvider>());

　然后在权限分配页面通过ResourceData.Resources就获取到了所有的权限信息，然后通过循环的方式直接显示到页面上即可。　

终于写完了，哈哈~~

# asp.net  # core  # 教程  # 权限  # 权限控制  # asp.net core mvc实现伪静态功能  # asp.net core MVC 过滤器之ActionFilter过滤  # asp.net core MVC 全局过滤器之ExceptionFilter过滤器(1)  # Spring.Net控制反转IoC入门使用  # ASP.NET Core应用中与第三方IoC/DI框架的整合  # MVC使用Spring.Net应用IOC（依赖倒置）学习笔记3  # .Net Core简单使用Mvc内置的Ioc  # 第一个  # 第二个  # 可以直接  # 写到  # 就可以  # 类中  # 的是  # 实现了  # 我想  # 来了  # 好了  # 我会  # 也会  # 在这个  # 就不  # 可以用  # 只需  # 这个问题  # 要在  # 我把 

相关文章： 建站之星如何助力网站排名飙升？揭秘高效技巧  如何自己制作一个网站链接,如何制作一个企业网站，建设网站的基本步骤有哪些？  深圳网站制作公司好吗,在深圳找工作哪个网站最好啊？  建站之星CMS五站合一模板配置与SEO优化指南  网站制作价目表怎么做,珍爱网婚介费用多少？  上海网站制作网页,上海本地的生活网站有哪些？最好包括生活的各个方面的？  制作无缝贴图网站有哪些,3dmax无缝贴图怎么调？  建站之星备案是否影响网站上线时间？  整人网站在线制作软件,整蛊网站退不出去必须要打我是白痴才能出去？  武汉网站制作费用多少,在武汉武昌，建面100平方左右的房子，想装暖气片，费用大概是多少啊？  简历在线制作网站免费版,如何创建个人简历？  学校建站服务器如何选型才能满足性能需求？  专业网站设计制作公司,如何制作一个企业网站，建设网站的基本步骤有哪些？  制作网站软件推荐手机版,如何制作属于自己的手机网站app应用？  如何挑选最适合建站的高性能VPS主机？  如何基于PHP生成高效IDC网络公司建站源码？  武汉外贸网站制作公司,现在武汉外贸前景怎么样啊？  广州网站制作的公司,现在专门做网站的公司有没有哪几家是比较好的，性价比高，模板也多的？  网站设计制作企业有哪些,抖音官网主页怎么设置？  建站主机无法访问？如何排查域名与服务器问题  文字头像制作网站推荐软件,醒图能自动配文字吗？  建站之星微信建站一键生成小程序+多端营销系统  如何制作网站标识牌,动态网站如何制作（教程）？  桂林网站制作公司有哪些,桂林马拉松怎么报名？  如何在万网自助建站中设置域名及备案？  网站制作中优化长尾关键字挖掘的技巧,建一个视频网站需要多少钱？  高防网站服务器：DDoS防御与BGP线路的AI智能防护方案  黑客如何利用漏洞与弱口令入侵网站服务器？  如何在阿里云服务器自主搭建网站？  建站主机选择指南：服务器配置与SEO优化实战技巧  关于BootStrap modal 在IOS9中不能弹出的解决方法(IOS 9 bootstrap modal ios 9 noticework)  教程网站设计制作软件,怎么创建自己的一个网站？  如何挑选高效建站主机与优质域名？  电商网站制作多少钱一个,电子商务公司的网站制作费用计入什么科目？  开源网站制作软件,开源网站什么意思？  c# 服务器GC和工作站GC的区别和设置  如何批量查询域名的建站时间记录？  专业制作网站的公司哪家好,建立一个公司网站的费用.有哪些部分,分别要多少钱？  南阳网站制作公司推荐,小学电子版试卷去哪里找资源好？  小建面朝正北，A点实际方位是否存在偏差？  香港服务器网站卡顿？如何解决网络延迟与负载问题？  制作门户网站的参考文献在哪,小说网站怎么建立？  学生网站制作软件,一个12岁的学生写小说，应该去什么样的网站？  建站主机服务器选购指南：轻量应用与VPS配置解析  建站之星与建站宝盒如何选择最佳方案？  小捣蛋自助建站系统：数据分析与安全设置双核驱动网站优化  如何快速上传建站程序避免常见错误？  移民网站制作流程,怎么看加拿大移民官网？  网站制作怎么样才能赚钱,用自己的电脑做服务器架设网站有什么利弊，能赚钱吗？  详解ASP.NET 生成二维码实例（采用ThoughtWorks.QRCode和QrCode.Net两种方式）