RBAC中权限过滤器-526互联

首先让我们认识权限过滤器是什么：

权限过滤器（Authorization Filters）是 ASP.NET MVC 框架中的一种功能，用于验证用户是否有权限访问特定的控制器或控制器方法。通过权限过滤器，你可以根据用户的身份、角色或其他条件来决定是否允许其执行某个操作。

在 ASP.NET MVC 中，权限过滤器是通过继承 System.Web.Mvc.FilterAttribute 类并实现 System.Web.Mvc.IAuthorizationFilter 接口或其派生接口来创建的。常见的权限过滤器有以下几种类型：

AuthorizeAttribute：ASP.NET MVC 原生提供的权限过滤器，用于验证用户是否登录，并检查用户是否属于指定的角色或拥有指定的权限。
自定义权限过滤器：根据实际需要自行编写的验证用户权限的过滤器。

权限过滤器代码如下：

public class MyAuthorizeFilter : IAuthorizationFilter //IAuthorizationFilter:权限过滤器
{
　　public void OnAuthorization(AuthorizationFilterContext context)
　　{
　　　　//可以访问在应用程序启动时注册的各种服务和依赖项（：获取数据库上下文、日志记录器、身份验证服务等）
　　　　var container = context.HttpContext.RequestServices;

　　　　//any表示有任何一个满足就返回true，all表示全部都满足才返回true
　　　　//如果所有元素的类型都不是授权属性就返回true
　　　　if (context.ActionDescriptor.EndpointMetadata.All(x => !x.GetType().Equals(typeof(AuthorizeAttribute))))
　　　　{
　　　　return;
　　　　}

　　　　//如果存在任何一个元素的类型等于允许匿名属性就返回true
　　　　if (context.ActionDescriptor.EndpointMetadata.Any(x => x.GetType().Equals(typeof(AllowAnonymousAttribute))))
　　　　{
　　　　return;
　　　　}

　　　　var userRoleRep = container.GetService<IBaseRespository<UserRole>>(); //用户角色表
　　　　var rolePermRep = container.GetService<IBaseRespository<RolePerm>>(); //角色权限表
　　　　var permissionRep = container.GetService<IBaseRespository<Perm>>(); //权限表

　　　　//获取当前请求路径
　　　　var path = context.HttpContext.Request.Path;
　　　　//1、获取当前用户
　　　　var principal = context.HttpContext.User;
　　　　var claims = principal.FindFirst("id");
　　　　if(claims != null)
　　　　{
　　　　　　var userid = int.Parse(claims.Value);
　　　　　　//2.获取当前用户下的角色
　　　　　var userRoleIds = userRoleRep.GetAll().Where(m=>m.UserId == userid).ToList().Select(m=>m.RoleId).ToArray();
　　　　　　//3.获取当前用户下角色的所有权限
　　　　　　var permissionIds = rolePermRep.GetAll().Where(m=> 　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　userRoleIds.Contains(m.RoleId)).ToList().Select(m=>m.PermId).ToArray();
　　　　　　var permissions = permissionRep.GetAll().Where(m => permissionIds.Contains(m.PermId)).ToList();

　　　　　　//4.根据权限判断当前用户访问的资源在不在权限列表中
　　　　　　var hasPermision = permissions.Any(m=>m.PermPath.Equals(path));
　　　　　　if(!hasPermision)
　　　　　　{
　　　　　　　　//context.Result = new ForbidResult(); //这种用在服务器端，直接返回http的code401
　　　　　　　　//以下用于前后端分离下返回前端数据，让前端来处理提示异常信息
　　　　　　　　context.Result = new ObjectResult(new ResulrWapper
　　　　　　　　{
　　　　　　　　code = 401,
　　　　　　　　message = "访问被拒绝"
　　　　　　　　});
　　　　　　}
　　　　}
　　}
}

最后创建一个显示页面，如果用户没没有权限的话，就提示没有权限访问，可以结合导航守卫一起使用