ASP .NET MVC 4.0 权限管理示例教程

我们使用ASP .NET 建设网站的时候，很多时候要使用到后台管理系统，这样就会涉及到权限管理的问题。在使用ASP.NET MVC的时候我们可以通过实现AuthorizeAttribute类的OnAuthorization方法来进行权限的管理。下面给出ASP .NET MVC 4.0 权限管理示例代码。

首先查看下面的代码：

using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;
using System.Web.Mvc;
using ZhiDao91;
 
namespace ZhiDao91.Controllers
{
    /// 

    /// 这是一个产品权限的测试Controller
    /// 
    [Authorize]
    [InitializeSimpleMembership]
    public class ProductController : Controller
    {		
        [ZhiDao91Authorize]
        public ActionResult Create()
        {
            return View();
        }		
 
        [ZhiDao91Authorize]
        public ActionResult Delete()
        {
            return View();
        }
		
        public ActionResult Index()
        {
            return View();
        }
  
        [ZhiDao91Authorize]
        public ActionResult Edit()
        {
            return View();
        }		
    }
}

上面的代码的Action打上了[ZhiDao91Authorize]标签，如果要实现权限控制，其中Index方法是没有打上标签的，所以不需要进行权限验证，下面就只需要实现ZhiDao91Authorize即可，如下面的代码：

public class ZhiDao91Authorize : AuthorizeAttribute
    {
        public override void OnAuthorization(AuthorizationContext filterContext)
        {
           if (!filterContext.RequestContext.HttpContext.Request.IsAuthenticated)
            {
                filterContext.Result = new RedirectToRouteResult(new RouteValueDictionary(new { controller = "account", action = "login", returnUrl = filterContext.HttpContext.Request.Url, returnMessage = "您无权查看." }));
                return;
            }
          base.OnAuthorization(filterContext);
        }
}

这样上面的代码就会有这样的效果：当访问 ProductController 的 Create、Delete、Edit方法的时候就会首先执行 ZhiDao91AuthorizeAttribute 类中的OnAuthorization判断是否登录，如果没有就跳到登录页面。

通过上面的代码可以实现ASP .NET MVC 4.0 权限管理，现在就可以实现权限的控制了，但是需要注意的这种方法是一种比较粗粒度的权限控制方法，这种方式是比较粗粒度的解决方案，由于是已经将定义好（约定好的）权限hard code带对应的Action上，所以无法实现用户自定义权限控制。下次教程将讲解ASP .NET MVC基于角色的权限控制系统。