1.权限控制使用controller和 action来实现,权限方式有很多种,最近开发项目使用控制控制器方式实现代码如下
/// <summary> /// 用户权限控制 /// </summary> public class UserAuthorize : AuthorizeAttribute { /// <summary> /// 授权失败时呈现的视图 /// </summary> public string AuthorizationFailView { get; set; } /// <summary> /// 请求授权时执行 /// </summary> /// <param name="filterContext">上下文</param> public override void OnAuthorization(AuthorizationContext filterContext) { // 获取url请求里的 controller 和 action string controllerName = filterContext.RouteData.Values["controller"].ToString(); string actionName = filterContext.RouteData.Values["action"].ToString(); // 获取用户信息 UserLoginBaseInfo _userLoginInfo = filterContext.HttpContext.Session[Property.UerLoginSession] as UserLoginBaseInfo; //根据请求过来的controller和action去查询可以被哪些角色操作: 这是查询数据库 roleid使用 1,2,3,4格式 RoleWithControllerAction roleWithControllerAction = SampleData.roleWithControllerAndAction.FirstOrDefault(r => r.ControllerName.ToLower() == controllerName.ToLower() && r.ActionName.ToLower() == actionName.ToLower() && r.RoleIds.contails("3")); // 有值处理 if (roleWithControllerAction != null) { //有权限操作当前控制器和Action的角色id this.Roles = roleWithControllerAction.RoleIds; } else { //请求失败输出空结果 filterContext.Result = new EmptyResult(); //打出提示文字 HttpContext.Current.Response.Write("对不起,你没有权限操作!"); } base.OnAuthorization(filterContext); } /// <summary> /// 自定义授权检查(返回False则授权失败) /// </summary> protected override bool AuthorizeCore(HttpContextBase httpContext) { //if (httpContext.User.Identity.IsAuthenticated) //{ // string userName = httpContext.User.Identity.Name; //当前登录用户的用户名 // User user = SampleData.users.Find(u => u.UserName == userName); //当前登录用户对象 // if (user != null) // { // Role role = SampleData.roles.Find(r => r.Id == user.RoleId); //当前登录用户的角色 // foreach (string roleid in Roles.Split(',')) // { // if (role.Id.ToString() == roleid) // return true; // } // return false; // } // else // return false; //} //else // return false; //进入HandleUnauthorizedRequest return true; } /// <summary> /// 处理授权失败的HTTP请求 /// </summary> protected override void HandleUnauthorizedRequest(AuthorizationContext filterContext) { if (string.IsNullOrWhiteSpace(AuthorizationFailView)) AuthorizationFailView = "error"; filterContext.Result = new ViewResult { ViewName = AuthorizationFailView }; } }
二.单点登录方式使用application方式来实现
1.用户登录成功后记录当前信息
/// <summary> /// 限制一个用户只能登陆一次 /// </summary> /// <returns></returns> private void GetOnline() { string UserID = "1"; Hashtable SingleOnline = (Hashtable)System.Web.HttpContext.Current.Application[Property.Online]; if (SingleOnline == null) SingleOnline = new Hashtable(); IDictionaryEnumerator idE = SingleOnline.GetEnumerator(); string strKey = string.Empty; while (idE.MoveNext()) { if (idE.Value != null && idE.Value.ToString().Equals(UserID)) { //already login strKey = idE.Key.ToString(); //当前用户已存在移除、 SingleOnline.Remove(strKey); System.Web.HttpContext.Current.Application.Lock(); System.Web.HttpContext.Current.Application[Property.Online] = SingleOnline; System.Web.HttpContext.Current.Application.UnLock(); break; } } //SessionID if (!SingleOnline.ContainsKey(Session.SessionID)) { SingleOnline[Session.SessionID] = UserID; System.Web.HttpContext.Current.Application.Lock(); System.Web.HttpContext.Current.Application[Property.Online] = SingleOnline; System.Web.HttpContext.Current.Application.UnLock(); } }
2.使用ActionFilter来实现单点登录,每次点击控制器都去查询过滤是否在其它地方登录
/// <summary> /// 用户基础信息过滤器 /// </summary> public class LoginActionFilter : ActionFilterAttribute { /// <summary> /// 初始化地址 /// </summary> public const string Url = "~/Login/Index?error="; /// <summary> /// 该方法会在action方法执行之前调用 /// </summary> /// <param name="filterContext">上下文</param> public override void OnActionExecuting(ActionExecutingContext filterContext) { // 获取上一级url // var url1 = filterContext.HttpContext.Request.UrlReferrer; UserLoginBaseInfo _userLogin = filterContext.HttpContext.Session[Property.UerLoginSession] as UserLoginBaseInfo; // 用户是否登陆 if (_userLogin == null) { filterContext.Result = new RedirectResult(Url + "登陆时间过期,请重新登陆!&url=" + filterContext.HttpContext.Request.RawUrl); } else { filterContext.HttpContext.Session.Timeout = 30; } //判断是否在其它地方登录 Hashtable singleOnline = (Hashtable)System.Web.HttpContext.Current.Application[Property.Online]; // 判断当前SessionID是否存在 if (singleOnline != null && !singleOnline.ContainsKey(HttpContext.Current.Session.SessionID)) filterContext.Result = new RedirectResult(Url + "你的帐号已在别处登陆,你被强迫下线!"); base.OnActionExecuting(filterContext); } /// <summary> /// 执行后 /// </summary> /// <param name="filterContext"></param> public override void OnResultExecuting(ResultExecutingContext filterContext) { //记录操作日志,写进操作日志中 var controllerName = filterContext.RouteData.Values["controller"]; var actionName = filterContext.RouteData.Values["action"]; base.OnResultExecuting(filterContext); }
3.用户正常退出或则非正常退出处理当前用户信息销毁Session
/// <summary> /// Session销毁 /// </summary> protected void Session_End() { Hashtable SingleOnline = (Hashtable)Application[Property.Online]; if (SingleOnline != null && SingleOnline[Session.SessionID] != null) { SingleOnline.Remove(Session.SessionID); Application.Lock(); Application[Property.Online] = SingleOnline; Application.UnLock(); } Session.Abandon(); }
以上所述是小编给大家介绍的Asp.net mvc 权限过滤和单点登录(禁止重复登录),希望对大家有所帮助,如果大家有任何疑问欢迎给我留言,小编会及时回复大家的!
注意 所有OAuth2 SSO和资源服务器功能在版本1.3中移动到Spring Boot。您可以在Spring Boot用户指南中找到文档 。 该项目提供从CloudFoundry服务凭据到Spring Boot功能的自动绑定。如果您有一个称为“sso”的CloudFoundry服务,例如,使用包含“client_id”,“client_secret”和“auth_domain”的凭据,它将自动绑
地址URL https://api.es.xiaojukeji.com/river/Login/getLoginEncryptStr 返回数据格式 JSON 请求方式 GET 是否需要登录 是 关于登录授权,参见 如何登录授权 访问授权限制 暂无 请求参数 名称 类型 必选 描述 client_id string yes 申请应用时分配的AppKey access_token string yes
接口说明: 接口类型:主动调用接口。 接口作用:可通过调用该接口来获取一个临时的URL,通过访问该URL即可直接进入某账号的智齿客服后台,从而实现单点登录的业务。 请求方式: POST 请求地址: https(http)://www.sobot.com/api/oss/5/direct_url 注:使用https请求返回的登录链接是https协议的,使用http请求,返回的登录链接就是http协
1、概念 单点登录SSO,说的是在一个多系统共存的环境下,用户在一处登录后,就不用在其他系统中登录,也就是用户的一次登录能得到其他所有系统的信任。 2、单点登录的要点 存储信任; 验证信任; 3、实现单点登录的三种方式 (1)以cookie作为凭证 最简单的单点登录实现方式,是使用cookie作为媒介,存放用户凭证。 用户登录父应用之后,应用返回一个加密的cookie,当用户访问子应用的时候,携带
本文向大家介绍Java web过滤器验证登录防止未登录进入界面,包括了Java web过滤器验证登录防止未登录进入界面的使用技巧和注意事项,需要的朋友参考一下 今天用ssh2写了个简单的系统,发现了一个问题,我这系统必须先登录成功才能进入主页,但我在浏览器里直接输入主页地址,发现也能进入,这个肯定不好,毫无安全性可言,后经查资料发现需要登录过滤器,就试了下,发现果然可以避免未经登录即可进入主页的危
嗨,我正在尝试对我的登录页面进行Microsoft单点登录身份验证。为此,我已经使用它创建了Azure多租户目录,并根据给定的链接https://www.c-sharpconer.com/article/azure-ad-authentication-for-mvc-web-application/创建了带有重定向URI的应用程序。成功地集成了代码,当运行时,我在输入用户名和密码后,我在错误下面得
我正在使用Spring Boot检查Spring Security默认表单登录页面的超文本标记语言代码。显然,表单中有3个字段(用户名、密码和隐藏的CSRF令牌),这是一个POST请求。 在这种情况下,我假设HTTP请求不会使用授权头—我没有看到任何JavaScript代码或类似的代码将username:password组合编码为Base64编码字符串并将其放入HTTP授权头。 但是当我查看Goo
该应用程序托管在IIS 7上,asp.net应用程序,用户需要由身份提供者进行身份验证,身份提供者是Active Directory。为此,我需要生成依赖方信任以添加到ADFS身份提供者。该应用程序托管在未连接到域的Web服务器上,因此我无法在Web服务器上安装ADFS以生成依赖方信任并实现自动或单点登录并生成依赖方信任元数据。我如何为用户实现单点或自动登录-我如何在没有活动目录联合服务的情况下从