ASP.NET權限控管

ASP.NET進階權限控管-Part 3 角色管理與角色使用者維護

topcat — Mon, 09 Jun 2008 17:16:00 GMT

緣起

承繼前兩篇，從第一篇的【願景】，與第二篇的【樹狀結構畫面維護】，這一篇來談談如何處理角色的部分。角色的意義，請參考小喵第一篇【ASP.NET進階權限控管-Part 1 願景】裡面的說明，這裡就不再贅述了。直接進入到角色的定義、以及角色←→使用者之間的關係如何維護。

先從角色的定義來談起，先看一下角色的欄位說明

Role

RoleUser

維護畫面設計

角色維護

再來是設計角色的維護畫面、以及角色←→使用者的維護畫面。角色維護畫面其實還蠻簡單的，一個GridView配合一個DetailView就完成了，這部分的程式碼就不再浪費版面。類似以下的畫面，在撰寫的時候要注意，一旦修改或者刪除角色，必須同步的去修改刪除相關的資料表RoleUse(角色使用者設定),MenuP(畫面權限設定)。

而角色使用者的維護，這個部分比較有趣了。因為一個人可能擔任數個角色；同樣的，一個角色可能有多人擔任。因此會有兩個方向的維護：

使用者→角色
角色→使用者

使用者→角色

小喵把使用者→角色的部分，跟使用者維護放在一起，這樣操作起來比較直觀，就是設定某個人的個人資料，並且設定該人擔任哪些角色，請看畫面如下：

這個部分程式上也沒有太大的困難，在使用者設定歸屬角色時，會用到一個技巧【物件導向的購物車(動態新增移除輸入資料) 】不同的是不需要使用Session來記錄，可以改以ViewState處理即可。使用ViewState記錄物件，必須要序列化，這也只需要在設定物件的時候，多宣告成可序列化即可。這裡物件宣告的部分，小喵把他列在下面

<Serializable()> Public Class UserRole Dim mRoleId As String Dim mRoleDesc As String Public Property RoleId() As String Get Return mRoleId End Get Set(ByVal value As String) mRoleId = value End Set End Property Public Property RoleDesc() As String Get Return mRoleDesc End Get Set(ByVal value As String) mRoleDesc = value End Set End Property End Class

以上的Class不必獨立撰寫，直接寫再使用者維護的aspx.vb裡面即可(一個檔案可以有數個Class)

角色→使用者

接著設計另一個方向：角色→使用者。也就是某個角色，設定哪些使用者擔任這個角色。先看一下畫面如下

這部分的設計，方法是衍生自物件導向式資料庫的方式，在畫面上用兩個物件及兩個物件集合即可做到。相關方法請參考小喵在小舖裡發表的一篇文章【ASP.NET 左右ListBox項目動態轉移範例】。一樣的並不需要用到Session，只要用ViewState即可。使用ViewState記得要把物件宣告成可序列化。

有了使用者、角色、畫面之後，接著下一篇將開始介紹如何設定授權。敬請期待

^_^

ASP.NET進階權限控管-Part 2 登入結合資料庫、樹狀結構維護

topcat — Mon, 09 Jun 2008 17:11:00 GMT

繼承上一篇的願景【ASP.NET進階權限控管-Part 1 願景】,接著這篇先來講講一些基本的部分。

首先是【登入結合自己的資料庫】，以及【TreeView樹狀結構結合資料庫】這兩個部分，由於小喵以前已經有文章說明了這兩個部分，所以在這邊也不贅述。請看考以下的這兩篇。

瞭解了上面的這些部分候，接著就是如何維護樹狀結構，看一下維護運作的畫面先

畫面分為左右兩區

左邊的【畫面選擇】會出現目前全部的樹狀結構，而右邊的【畫面設定】則是編輯區，用以新增、修改、刪除設定。另外在右邊裡面還有個相關aspx設定，用以設定哪些aspx歸屬於這個節點管理，未來系統會在運行的時候，自動抓取目前的畫面名稱，此時透過這個設定，找出要對應哪個節點代號，進而找出該節點的權限。

再來就來看看如何設計這樣的畫面與程式。

資料庫設計

首先是資料庫欄位的設計，樹狀結構的資料庫欄位在TreeView樹狀結構結合資料庫裡面已經有，再拿出來複習一下

資料表名稱：TCATMenu

再來就是設計一個節點對畫面的資料表，格式如下：

資料表名稱：TCATMenuAspx

畫面維護

畫面維護上，TreeView產生過程稍微特別一點，小喵大致說明一下：

首先是在產生TreeView的遞迴程式方面，由於我們這次並非要產生一個具備超連結的TreeView，相對的，我們是要當點選TreeView的某個節點時，傳出該節點的NodeId，因此Node的NavigateUrl與Target就不給予指定。然後就可以在TreeView的事件TreeView1_SelectedNodeChanged去取得該Node的NodeId(Me.TreeView1.SelectedValue)，並且取得該NodeId的相關資料。

TreeView遞迴產生的部分請參考小喵以前的文章【ASP.NET 2.0 使用資料表動態產生TreeView的樹狀結構】

AddNote的部分修改如下

    Function AddNodes(ByRef Dt As DataTable, ByRef tNode As TreeNode, ByVal PId As Integer) As String
        '******** 遞迴增加樹結構節點 ********
        Try

            '定義DataRow承接DataTable篩選的結果
            Dim rows() As DataRow
            '定義篩選的條件
            Dim filterExpr As String
            filterExpr = "ParentId = " & PId
            '資料篩選並把結果傳入Rows
            rows = Dt.Select(filterExpr, "Sort")

            '如果篩選結果有資料
            If rows.GetUpperBound(0) >= 0 Then

                Dim row As DataRow
                Dim tmpNodeId As Long
                Dim tmpsText As String
                Dim tmpsValue As String
                Dim tmpsUrl As String
                Dim tmpsTarget As String
                Dim NewNode As TreeNode
                Dim rc As String

                '逐筆取出篩選後資料

                Dim tt As String = ""
                For Each row In rows
                    '放入相關變數中
                    tmpNodeId = row("NodeId")
                    tmpsText = row("sText") + "(" + row("NodeId").ToString + ")"
                    tmpsValue = row("sValue")
                    tmpsTarget = row("sTarget")
                    tmpsUrl = row("sURL")

                    '實體化新節點
                    NewNode = New TreeNode
                    '設定節點各屬性
                    NewNode.Text = tmpsText
                    NewNode.Value = tmpNodeId
                    'NewNode.NavigateUrl = tmpsUrl
                    'NewNode.Target = tmpsTarget
                    'If tmpsUrl = "" Then
                    '    NewNode.SelectAction = TreeNodeSelectAction.None
                    'End If
                    '將節點加入Tree中
                    If Me.RunNodeText <> "" Then
                        If tmpsText = Me.RunNodeText Then
                            NewNode.Select()
                            Me.RunNodeText = ""
                        End If
                    End If
                    tNode.ChildNodes.Add(NewNode)

                    '呼叫遞回取得子節點
                    rc = AddNodes(Dt, NewNode, tmpNodeId)

                Next
            End If
            '傳回成功訊息
            AddNodes = "Success"

        Catch ex As Exception
            lblErrMsg.Text = ex.Message
            AddNodes = "False"

        End Try
    End Function

節點畫面對照

另外就是，節點與畫面的對照，在TreeView的一個節點，他可能會用好幾個畫面才處理這個功能。因此NodeId與Aspx是一對多的關係。而畫面名稱可以用Page.ToString()取得，不過取得的名稱有點累贅，比如說，假設我的系統是http://www.blueshop.com.tw/PCAT

而有個ASPX他的是在我專案下Test資料夾下的PCATTest.aspx(http://www.blueshop.com.tw/PCAT/Test/PCATTest.aspx)那麼取得的名子將是【aspx_test_pcattest_aspx】其中包含了前面固定會出現的aspx_，其他就是資料夾、檔案名稱，用_間隔開來。因此，小喵會把設定在TreeView的網址Test/PCATTest.aspx處理成test_pcattest_aspx這樣方便未來在PageBase裡面可以自動抓畫面名稱來判斷。處理的Function如下

Aspxs = Replace(Me.txtAspx.Text.ToLower, "/", "_")
Aspxs = Replace(Aspxs, ".", "_")

處理前：Test/PCATTest.aspx

處理後：test_pcattest_aspx

那麼在PageBase裡面只要用以下取得的拿來當作查詢條件就可以了

Dim AspxName As String = Mid(Me.Page.ToString, 5, Len(Me.Page.ToString) - 4)

以上就是有關畫面樹狀結構設定、樹狀結構節點與畫面名稱對照設定的相關介紹。

接著下一篇將會介紹【ASP.NET進階權限控管-Part 3 角色管理與角色使用者維護】

ASP.NET進階權限控管-Part 1 願景

topcat — Thu, 08 May 2008 13:45:00 GMT

這個主題小喵一直以來一直想要做分享，但是又不知從何分享起，因為小喵的這套機制有點點複雜，他除了可以結合自定資料庫的使用者登入、角色概念外，還搭配了TreeView與資料庫結合，等等的技術。算是一個還蠻進階的運用。相關的介紹可能不是一兩篇Blog能夠介紹完。到底要多少篇小喵也不曉得...就從小喵希望達到的願景(事實上已經達到並上線使用中)開始介紹起。

首先，要回憶一下往事先，小喵在ASP的時代，就寫了一個類似的權限控管機制，一樣是樹狀結構，可以針對每個使用者，設定每個畫面的【查詢、新增、修改、刪除】。相關的設定畫面如下圖：

小喵希望開發出來的權限控管機制，也是類似的狀況。但是以往的狀況有個缺點卻不得不提→組織異動，重新授權不易

舉個例子來說，假設

User甲有畫面(ABCD)的權限

User乙有畫面(CDEF)的權限

今天職務調整，讓這兩個人的職務對調

此時，甲要→AB,+EF。乙要→EF，+AB

其實，看起來，也沒什麼，就刪除4筆，增加4筆而已。不過如果細想一下，如果是跟User甲一樣狀況的有200人，那麼光是刪除、新增就頭大。而最常發生的，就是乙因為需要AB，所以申請+AB，不需要EF卻不申請刪除EF畫面權限，造成ABCDEF都有。

因此...小喵希望能夠用【角色(身分)】來做管理，也就是畫面的權限設定，是依照不同的【角色(身分)】來授權，以剛剛的範例，就變成

畫面-----角色(身分), 角色(身分)-----使用者

ABCD-----角色P, 角色P-----User甲

CDEF-----角色Q, 角色Q----User乙

這樣如果當兩邊職務調動的時候，其實只要動到【角色----使用者】這樣的資料就好，甚至未來擴編，有人要有相同的設定，也只需要把這個人設定適當的【角色】就能夠擁有該角色該有的畫面權限了。

除此之外，一個人可以擁有多個角色，例如：一個人可能是【BlueShop的會員】，同時也是【ASP.NET討論區的版主】，因此當他是【BlueShop會員】這個角色時，就擁有【BlueShop會員】該擁有的畫面權限。而同時，因為又兼具【ASP.NET討論區的版主】因此也擁有【ASP.NET討論區的版主】這角色應該有的畫面權限。

例如：

【BlueShop會員】:權限有畫面ABCD

【ASP.NET討論區的版主】：權限有CDEF

小喵身兼兩個身分，就有權限ABCDEF

----

授權上：
一個角色可以有許多的使用者
一個使用者可以扮演許多的角色
授權時大致區分為查詢(可以點選進入)，拒絕(不可點選進入)，未設定(無該畫面的任何設定)
依照角色來授權、以拒絕為優先、個人最優先
優先的先後順序為
個人設定>角色拒絕>角色設定
舉個例子
當一個畫面，小喵要進入時，
小喵所屬的任何角色都沒有設定
→因為沒有任何設定可進入→不可進入
小喵所屬的角色中有一個可進、一個不可進
→因為以拒絕為優先→不可進入
小喵所屬的角色中有一個可進、無不可進
→因歸屬於該角色，且無任何拒絕→可進入
小喵所屬的角色中有一個可進，有一不可進，但個人設定為拒絕
→因個人設定為拒絕→不可進入
----------------------------------------------------------------------------------
這樣設計的目的是，畫面功能的設定，以角色設定為基本
如果沒有其他特別的條件，那麼就只需管好角色/使用者之間的關係
當有職務調動的時候，也只需調整使用者的【角色】就可以了一並設定好權限
當然世事往往不如意....會有少許例外的狀況
例外的狀況就以個人的方式設定，所以把個人設定的優先權設定為最高也是這個用意

再仔細的整理一下規則，規則如下：

【瀏覽權限控管規則】：於是就發展出目前小喵的權限控管規則規則一：(角色管理)因應不同的職務需求，設定【角色】，可由許多使用者扮演相同的角色規則二：(角色管理)一個【使用者】可以同時扮演許多不同的【角色】規則三：(授權角色)設定權限時，依照【角色】的職務特性來設定規則四：(拒絕優先)相同畫面中，當同時擁有的兩個以上【角色】有設定【拒絕】→以【拒絕】為優先規則五：(個人最優先)當有個人【使用者】發生規則四狀況被拒絕，但右必須使用時→以【個人設定為最優先】【查詢、新增、修改、刪除、列印權限】規則一：先有瀏覽權限→再談這些設定(沒有權限瀏覽，一進畫面就被踢出，當然什麼也沒有) 規則二：所屬角色+使用者自己的設定中，只要其中有一可執行→就可執行例如小喵分屬RoleA,RoleB RoleA有查詢、新增、修改的權限 RoleB有查詢、刪除的權限那麼小喵有的權限就是綜合起來的【新增(A)、修改(A)、刪除(B)】【特殊角色：SysAdmin】規則：擁有此角色的使用者，擁有最高的權限，任何畫面、任何功能均可使用

最後得到的畫面會是類似這樣：

畫面驗證：

用以上的這些規則來設定後，希望未來畫面能夠透過最簡單的方式，就能夠達到以下幾個動作

自動取得畫面名稱
自動取得畫面的抬頭名稱
驗證畫面是否有權限，沒權限者自動踢出登出
取得畫面的各項權限設定(查詢、新增、修改、刪除、查詢、列印等)
自動計算畫面使用次數(另有畫面可以查使用者、畫面使用次數累計)

以上就是小喵希望能夠達到的願景，畫面可以自己增減，權限可以動態設定，並且導入角色概念，以角色為主，個人為輔。並且一切都記錄在資料庫中。後面會陸續的說明，如何達到這樣的願景。