MVC自定义AuthorizeAttribute实现权限管理

在MVC框架中，我们经常需要进行权限管理，以限制某些用户或角色对受保护的资源进行访问。这时，就需要使用ASP.NET框架提供的AuthorizeAttribute特性来进行授权判断。但是，ASP.NET框架中的AuthorizeAttribute只提供了一些基本的授权功能，如果需要更加灵活的授权控制，我们就需要自定义AuthorizeAttribute。

1.自定义AuthorizeAttribute类

我们可以通过自定义AuthorizeAttribute类来实现权限控制，具体实现方式如下：

```csharp

using System;

using System.Web.Mvc;

public class CustomAuthorizeAttribute : AuthorizeAttribute

{

private string[] _permissionValues;

public CustomAuthorizeAttribute(params string[] permissionValues)

{

_permissionValues = permissionValues;

}

protected override bool AuthorizeCore(HttpContextBase httpContext)

{

if (httpContext == null)

{

throw new ArgumentNullException("httpContext");

}

// 获取当前用户信息

var user = httpContext.User;

if (!user.Identity.IsAuthenticated)

{

return false;

}

// 判断用户是否有权限访问该请求

foreach (var permissionValue in _permissionValues)

{

if (user.IsInRole(permissionValue))

{

return true;

}

}

return false;

}

protected override void HandleUnauthorizedRequest(AuthorizationContext filterContext)

{

if (filterContext == null)

{

throw new ArgumentNullException("filterContext");

}

// 如果用户未登录，跳转到登录页面

if (!filterContext.HttpContext.User.Identity.IsAuthenticated)

{

filterContext.Result = new RedirectResult("~/Account/Login");

}

// 如果用户无权限，返回403状态码

else

{

filterContext.Result = new HttpStatusCodeResult(403);

}

}

}

```

在上面的代码中，我们继承了AuthorizeAttribute类，并重写了AuthorizeCore和HandleUnauthorizedRequest方法，实现了自定义权限控制的功能。

AuthorizeCore方法用于判断当前用户是否有权限访问受保护的资源。我们通过获取当前用户信息，判断当前用户是否有传入的参数中所列出的权限，若有则返回true，无则返回false。

HandleUnauthorizedRequest方法用于处理未授权的请求，即当用户没有访问权限时，会执行该方法。我们通过判断用户是否已登录，来跳转到登录页面或者返回403状态码，表示无权限访问。

2.在控制器方法上添加自定义AuthorizeAttribute

接下来，我们就可以在需要进行权限控制的控制器方法上添加我们刚才自定义的AuthorizeAttribute。例如：

```csharp

[CustomAuthorize("Admin")]

public ActionResult OrderList()

{

//...

}

```

在上面的代码中，我们在OrderList方法上添加了CustomAuthorizeAttribute特性，并传入了参数“Admin”。表示只有拥有“Admin”角色的用户才能访问该方法。

3.使用自定义AuthorizeAttribute实现权限管理

通过自定义AuthorizeAttribute，我们可以方便地实现权限管理。例如，我们可以在MVC应用程序中使用角色或者其他标识来限制用户对于某些资源的访问。比如，我们可以根据角色进行权限管理，如下所示：

```csharp

[CustomAuthorize("Admin", "Manager")]

public ActionResult ArticleList()

{

//...

}

```

以上代码表示只有“Admin”和“Manager”角色的用户才能访问ArticleList方法。我们还可以使用其他标识来进行自定义授权控制，如下所示：

```csharp

[CustomAuthorize("VIP")]

public ActionResult DownloadFile(int fileId)

{

//...

}

```

以上代码表示只有拥有“VIP”标识的用户才能下载文件。可以看到，通过自定义AuthorizeAttribute，我们可以很方便地实现权限控制，使我们的应用程序更加安全。 如果你喜欢我们三七知识分享网站的文章， 欢迎您分享或收藏知识分享网站文章 欢迎您到我们的网站逛逛喔！https://www.37seo.cn/