`
jarod2008
  • 浏览: 82851 次
  • 性别: Icon_minigender_1
  • 来自: 北京
社区版块
存档分类
最新评论

角色权限,RBAC的简单实现

    博客分类:
  • mesc
阅读更多
【转自】http://hi.baidu.com/china8jie/blog/item/bd70b87776c5571fb151b9be.html

2008-03-28 01:23
以上是一个简化版本关系图.
User:用户表,存放用户信息
Role:角色表,存放角色信息
UserInRole:用户角色映射表,存放用户和角色的对就关系,多对多,一个用户可以对应多个
角色,而不同的角色有一同的权限。
Permissions:权限表,不同的角色对应不同的权限。权限信息使用一个字段flag来表示,
好处是可以使用位运算来计算权限,缺点是用位标识的权限受理论值限制,如int理论上可以
标识31种不同的权限, 当然可以整加一个字段来弥补,ApplicationID标识不同的模块
Application:模块信息。

   [Flags]
     public enum Flag:long
     {
       View=1 ,
       Edit=2 ,
       Delete=4
     }

特性[Flag]告诉编译器,当编译器看到Flag枚举时,它会充许你用|(or)操作符组合枚举值,
就像二的整数幂一样,
例如 Flag Administer=Flag.View|Flag.Edit|Flag.Delete;表示三种权限的组合。

基础知识:

位运算

枚举Flag

当编译器看到Flag枚举时,它会充许你用|(or)操作符组合枚举值,
就像二的整数幂一样,
例如 Flag Administer=Flag.View|Flag.Edit|Flag.Delete;

常用操作,检查是否存在
Flag administer=Flag.View|Flag.Edit|Flag.Delete;
public bool Check(Flag administer,Flag mask)
        {
            bool bReturn = false;
            if ((administer & mask) == mask)
                bReturn = true;

            return bReturn;
        }
调用  Check(administer,Flag.Edit)将返回true.

public Flag SetBit(Flag administer,Flag mask)
        {
          return administer |= mask;
          
        }

administer |= mask;操作相当于 administer = administer |mask;

 从枚举中减去一种状态
  administer &=mask;

如 :
Flag administer=Flag.View|Flag.Edit|Flag.Delete;
如需要禁止删除权限.
administer &=Flag.Delete;

 另外,标记为flag的枚举类型,可以不设置值
   public enum Flag:long
     {
      View,
      Edit,
      Delete
     }
 如需要设置,按以下规律, View=1,Edit=2,Delete=4,Reply=8按2次方累加,为什么会这样?因为他使用二进制操作,
   当你使用 View=1,Edit=2,Delete=3,Reply=4这样的值, Flag.Delete 包含的值是Flag.Delete还是View=1|Edit=2就无从检测了.

每个用户,可以属于不同的角色不同的角色分配不同的权限,计算所有解权的所有可能的权限组合,只要有充许的权限,那么该用户既获取该权限。

在CS系统中,Permissions表合用了二个字段来标识权限.
AllowMask,DenyMask 规责是Deny优先,也就是说当权限标记为Deny那么不论是否Allow一律禁止该用户进行此项操作。

另外,像论坛类的权限设计,仅仅一个ApplicationID字段是不够用的,因为每个版块都需要设置不同的权限,来控制权限的粒度,可在增加一张Permission表,ApplicationID修改为版块ID
这样,就可以针对不同的版块设置不同的权限

好了,接下的问题是怎么和.net自带的权限系统挂钩了。。

在asp.net系统中 ,HttpContext.Current.User实现了一个接口IPrincipal,IPrincipal包含了另一个接口Identity

我们在设计User类的时候继承此接口
public class User:IPrincipal
{
    string username;
    public string Username
    {
     get{return username;}
     set{username=value;}
    }
}

实现IPrincipal接口方法
  public IIdentity Identity
        {
            get {
                if (!string.IsNullOrEmpty(username))
                    _Identity = new GenericIdentity(username,"Forums");
                return (IIdentity)_Identity;
            }
        }

public bool IsInRole(string role)
{
.....
}

怎样和asp.net挂钩呢,这里可以在登陆时做检查

if(HttpContext.Current!=null){
                User u= Users.GetUser(name);
                HttpContext.Current.User =u;

在使用时 
User u = HttpContext.Current.User as User;
当然检查用户角色可以直接用

 



if(HttpContext.Current.User.Identity.IsAuthenticated&&HttpContext.Current.User.IsInRole(角色名))


另外可以直接把到当用户权限策略挂接到当前线程 ,使用以下方法
    AppDomain.CurrentDomain.SetPrincipalPolicy(User);

好了,接下来,怎么check权限?

我倾向于使用Attribute


[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method | AttributeTargets.Property | AttributeTargets.Delegate, Inherited = true, AllowMultiple = true)]
    public class CheckPermissionAttribute : Attribute
    {

        int appID;
        public int ApplicationID
        {
            get { return appID; }
            set { appID = value; }
        }
        Permission _allMask;
        public Permission AllMask
        {
            get { return _allMask; }
            set { _allMask = value; }
        }

        public CheckPermissionAttribute(ApplicationID app, Permission allMask)
        {
            appID = app;
            _allMask = allMask;
        }
        public CheckPermissionAttribute(Permission allMask)
        {
            _allMask = allMask;
        }

    }
AttributeUsage 第一个参数表示该属性可以应用于类,方法,属性,代理上
Inherited 检查继承的权限。
AllowMultiple 充许多次应用。

按下来,设计一个基类,继承自Page:

public   class PageBase : Page
{
Flag _allMask;

/// <summary>
    /// 检查类型权限
    /// </summary>
    public void CheckClass()
    {
        Type type = this.GetType();
        CheckPermissionAttribute att = (CheckPermissionAttribute)CheckPermissionAttribute.GetCustomAttribute(type, typeof(CheckPermissionAttribute));
        if (att != null)
        {
            Check(att.AllMask);
        }
    }

/// <summary>
    /// 检查函数调用权限
    /// </summary>
    /// <param name="methodName">方法名</param>
    public void CheckMethod(string methodName)
    {
        Type type = this.GetType();
        string name = "*";
        if (!string.IsNullOrEmpty(methodName))
            name = methodName;
        MemberInfo[] mis = type.FindMembers(MemberTypes.Method ,BindingFlags.Instance | BindingFlags.NonPublic | BindingFlags.Public | BindingFlags.IgnoreCase,Type.FilterNameIgnoreCase,name);
        foreach (MethodInfo m in mis)
       {
           CheckPermissionAttribute att = (CheckPermissionAttribute)CheckPermissionAttribute.GetCustomAttribute(m, typeof(CheckPermissionAttribute));
           if (att != null)
           {

               Check(att.AllMask);
                          
           }
           
       }
       return;

   
    }
    public void Check(Flag permissions)
    {
        if (!CheckPermission(permissions))
        {
            string url = string.Format("MsgPage.aspx?msg={0}", HttpUtility.UrlEncode("您没有权限访问该资源"));
            Response.Redirect(url);
        }
    }
    public void Check(ApplicationID appID, Flag permissions)
    {
        PermissionManager pm= Spaces.PermissionManager.Instance(appType);
        if (!CheckPermission(pm,permissions))
        {
            string url = string.Format("MsgPage.aspx?msg={0}", HttpUtility.UrlEncode("您没有权限访问该资源"));
            Response.Redirect(url);
        }

    }

protected override void OnInit(EventArgs e)
    {
        CheckClass();
        base.OnInit(e);
    }

}

 

如何使用:

[CheckPermission(2, Flag.View)]
public partial class MyPage : PageBase
{

}

若没有查看权限,会自运导向错误页面。

在类上应用挺方便。

方法上应用使用递归比较麻烦:

可以调用 CheckMethod(方法名称);如
[CheckPermission(2, Flag.Delete)]
public partial class MyPage : PageBase
{
public void test()
{
   CheckMethod("test");
   .......
}
}

这是需要重复劳动的

当然有简单的方法啦,~_~

在页面class里怎么获取当前调用的对象的相关信息见博客的另外一篇文章:.http://hi.baidu.com/lingyunj/blog/item/955bab7e7a84c53c0cd7da35.html

分享到:
评论

相关推荐

    RBAC简易设计C#

    角色(Role)、权限(Permission)和用户(User)是RBAC(Role-Based Access Control,基于角色的访问控制)模型的核心元素。在C#环境中实现RBAC,我们可以创建一个灵活、可扩展的权限管理系统,以确保软件应用的...

    SpringBoot + Apache Shiro1.9.1 最新版本详细教程,基于RBAC角色访问、安全管理框架、用户角色权限

    0、重点!重点!...1、本教程适用所有开发人员简单易懂,结合文章教程与demo示例。...5、基于RBAC五张表:用户表 tb_user、角色表tb_role、权限表tb_permission、用户角、表tb_user_role、角色权限tb_role_permissio

    rbac的权限模式是什么

    RBAC作为一种成熟的访问控制模型,通过角色这一中间层实现了用户与权限的有效隔离,不仅简化了权限管理的复杂度,还提高了系统的灵活性和安全性。对于需要实现复杂权限管理的应用系统来说,RBAC提供了一种有效的解决...

    SpringBoot整合Shiro实现基于角色的权限访问控制(RBAC)系统简单设计从零搭建.zip

    在IT毕业设计中,我们经常会遇到构建一个具备权限管理功能的系统,这通常涉及到基于角色的权限访问控制(Role-Based Access Control,简称RBAC)。在这个项目中,我们将使用SpringBoot框架与Apache Shiro库来实现...

    角色访问RBAC

    角色访问控制(Role-Based Access Control,简称RBAC)是一种广泛应用于现代企业信息系统中的权限管理机制。它通过将权限与角色关联,而非直接与用户绑定,实现了更为高效且灵活的访问控制策略。RBAC模型通常包括三...

    Springboot+Shiro+Redis实现RBAC用户权限管理

    这通常涉及在数据库中查询用户的角色和对应的角色权限,然后与请求的资源进行匹配。 为了实现动态权限控制,我们可以将角色和权限信息存储在Redis中,当角色或权限发生变更时,可以通过监听Redis消息或定时任务更新...

    ThinkPHP(RBAC)权限管理系统_第27讲_角色权限认证

    在本课程"ThinkPHP(RBAC)权限管理系统_第27讲_角色权限认证"中,我们将深入探讨如何在ThinkPHP框架下实现基于Role-Based Access Control(RBAC)的权限管理系统。RBAC是一种广泛应用于现代Web应用中的权限控制模型,...

    基于django的RBAC权限控制模块

    Role-Based Access Control(RBAC)是一种常见的权限管理模型,通过角色来分配权限,使得系统管理更加简单且安全。本模块就是基于Python3和Django框架实现的RBAC权限控制系统。 首先,我们来看一下Django框架。...

    由gin + gorm + jwt + casbin组合实现的RBAC权限管理脚手架Golang-gin-web.zip

    在RBAC中,Casbin可以定义角色、权限和策略,轻松地管理用户的访问权限。Casbin提供了简单的API,方便在Gin中集成,根据用户的角色和权限动态决定是否允许其执行某个操作。 构建这样的系统通常涉及以下步骤: 1. ...

    ThinkPHP的RBAC(基于角色权限控制)深入解析

    这种设计使得权限管理更加简单,尤其在大型系统中,用户角色变化频繁的情况下,只需调整角色权限即可。 一、RBAC基础理论 1. **角色(Role)**:角色是权限的集合,通常对应于组织内的职位或者职责。例如,管理员...

    ThinkPHP(RBAC)权限管理系统_第24讲_角色管理之配置权限

    实现权限控制通常有两种方式:基于资源的权限控制(如访问控制列表,ACL)和基于角色的权限控制(RBAC)。在本课中,我们专注于RBAC,它通过角色的上下文判断用户是否有执行某个操作的权限,减少了检查单个用户权限...

    利用MVVM来实现基于角色的权限菜单(附加数据表)

    利用WPF技术实现了一个基于角色的权限菜单的简单示例. 使用了MVVM模式编写此例。 项目分为Model,View及ViewModel三个部分。Model只要的功能是实体类和提供的服务。实体类是对事物属性抽象构成的类,即代表事物的属性...

    基于RBAC权限模型搭建的高效智能权限管理系统.pdf

    该系统主要包含用户信息表、角色表、权限表等模块,依托Web的计算算法,客户端无需安装专用软件,整个系统的管理操作更加简单、快捷。 在用户信息表中,用户的信息将被存储,包括用户名、密码、角色等信息。在角色...

    thinkphp3.1 rbac

    1. 管理项目:在ThinkPHP3.1中,项目可以被视为一个大的权限范围,通过设置角色权限,可以控制用户访问不同项目的权限。 2. 管理模块:模块是项目中的子单元,每个模块可能包含多个控制器和视图。通过RBAC,可以精细...

    基于RBAC和SSH的权限管理系统的设计和实现

    为了简化数据库结构,角色权限采用逗号分隔的功能编码形式存储。 - **用户角色表**:用于关联用户与角色之间的关系。因为一个用户可能拥有多个角色,所以需要单独建立此表。 - **系统功能表**:定义了系统的各项功能...

    ThinkPHP的RBAC,基于角色的权限控制-下载地址+2011年最新.txt

    它通过定义不同的角色,并为每个角色分配相应的权限来实现对用户操作的限制,这种方式能够更好地管理和维护系统中的权限分配。 #### 2. ThinkPHP框架介绍 ThinkPHP是一个用PHP语言编写的应用开发框架,遵循MVC设计...

    SpringBoot整合Shiro实现基于角色的权限访问控制(RBAC)系统简单设计从零搭建+源代码+文档说明

    这是基于SpringBoot和Shiro实现的一个角色权限访问控制(RBAC)的系统。 基本描述 : 1 . 一个用户具有一个角色,或者多个角色 2 . 一个角色具有一个权限,或者多个权限 3 . 权限可以访问对应的api,或者url...

    基于RBAC的SSH权限管理项目和找的一些资料

    6. **SSH实现基于RBAC的权限管理系统**:“SSH实现基于RBAC的权限管理系统.rar”很可能是一个实际的项目实现,包含代码、配置文件和指南,可以作为实践教程,帮助开发者了解如何在SSH服务器上实施RBAC。 7. **waip_...

    使用php实现的一个rbac权限管理微型系统-RBAC-IN-PHP.zip

    这个"RBAC-IN-PHP"压缩包文件提供了一个用PHP实现的简单RBAC微型系统,用于演示和理解RBAC的基本原理和实现方法。 **1. RBAC概念** RBAC模型的核心思想是将权限与角色关联,用户通过扮演不同的角色来获取相应的...

Global site tag (gtag.js) - Google Analytics