asp.net core根据用户权限控制页面元素的显示

intro

在 web 应用中我们经常需要根据用户的不同允许用户访问不同的资源，显示不同的内容，之前做了一个 accesscontrolhelper 的项目，就是解决这个问题的。

asp.net core 支持 taghelper 和 基于 policy 的认证

accesscontrolhelper 从1.4.0 版本开始支持 taghelper 和 基于 policy 的认证

taghelper 用法

在 views 目录下的 ~viewimport.cshtml 中加入 taghelper 引用

@addtaghelper *, weihanli.aspnetmvc.accesscontrolhelper

在需要有权限才能访问的元素上加上 asp-access ，支持自定义一个key，如果有特殊的key可以设置 asp-access-key，下面有个示例

     <ul class="list-group" asp-access asp-access-key="12334">
            <li role="separator" class="list-unstyled">
                <br />
            </li>
            <li class="list-group-item">@html.actionlink("用户管理", "userlist", "account")</li>

            <li class="list-group-item">@html.actionlink("操作日志查看", "index", "operationlog")</li>
            <li class="list-group-item">@html.actionlink("系统设置管理", "index", "systemsettings")</li>
            <li class="list-group-item">
                @html.actionlink("微信设置管理", "index", new {
                controller = "config",
                area = "wechat"
            })
            </li>
        </ul>

示例代码完整源码

实现自己的访问策略

可以参考这个项目的实现 https://github.com/weihanli/activityreservation/blob/dev/activityreservation.helper/services/permissionrequirestrategy.cs

using microsoft.aspnetcore.http;
using microsoft.aspnetcore.mvc;
using weihanli.aspnetmvc.accesscontrolhelper;
using weihanli.common.models;

namespace activityreservation.filters
{
    public class adminpermissionrequirestrategy : iactionaccessstrategy
    {
        private readonly ihttpcontextaccessor _accessor;

        public adminpermissionrequirestrategy(ihttpcontextaccessor accessor)
        {
            _accessor = accessor;
        }

        public bool iscanaccess(string accesskey)
        {
            var user = _accessor.httpcontext.user;
            return user.identity.isauthenticated && user.isinrole("admin");
        }

        public iactionresult disallowedcommonresult => new contentresult
        {
            content = "no permission",
            contenttype = "text/plain",
            statuscode = 403
        };

        public iactionresult disallowedajaxresult => new jsonresult(new jsonresultmodel
        {
            errormsg = "no permission",
            status = jsonresultstatus.nopermission
        });
    }

    public class adminonlycontrolaccessstragety : icontrolaccessstrategy
    {
        private readonly ihttpcontextaccessor _accessor;

        public adminonlycontrolaccessstragety(ihttpcontextaccessor httpcontextaccessor) => _accessor = httpcontextaccessor;

        public bool iscontrolcanaccess(string accesskey)
        {
            var user = _accessor.httpcontext.user;
            return user.identity.isauthenticated && user.isinrole("admin");
        }
    }
}

这个示例实现的比较简单，只是判断了一下是否有 admin 角色，可以根据实际情况根据请求的地址以及当前登录用户及其它可能用到的信息去判断是否有权限访问。

注册服务

在 startup 文件中 configureservices 中注册权限服务，注册自己的访问策略

// register access control service
services.addaccesscontrolhelper<filters.adminpermissionrequirestrategy, filters.adminonlycontrolaccessstragety>();

policy 访问使用

在需要设置权限的 action 或者 controller 上加 [authorize("accesscontrol")] 或者 [authorization(policy="accesscontrol")]

这两种方式是 asp.net core 下支持的 policy 方式使用
也支持比较传统的直接使用 [accesscontrol]，accesscontrol 和 noaccesscontrol 可以搭配使用， 类似于 authorize 和 allowanoymous

taghelper 使用效果实例

测试登录地址

普通用户： alice/test1234
管理员： admin/admin888

查看后台首页

管理员用户登录看到的界面：

普通用户登录看到的界面：

reference

• github
• nuget
• 示例项目
• 实例项目