時楓棋　黃海濤　陳軍偉

摘 要：網(wǎng)站的一個典型要求是，只允許某些用戶（經(jīng)過身份驗證的用戶）查看特定的頁面?；诮巧脑L問控制策略（RBAC）通過在用戶和權(quán)限之間引入角色，彌補了傳統(tǒng)方法的某些缺陷。傳統(tǒng)的訪問控制需要程序員編寫大量代碼來實現(xiàn)，使用ASP.NET MVC3提供的角色管理，可以快速建立起健壯，功能強大的基于角色的訪問控制。

關(guān)鍵詞：ASP.NET；MVC；基于角色的訪問控制；WEB安全

在基于Web的信息系統(tǒng)中，由于網(wǎng)絡(luò)信息共享的特性，系統(tǒng)的安全問題越來越突出，安全性研究越來越重要，對用戶訪問進行控制是保證系統(tǒng)安全的重要措施之一。以往在對Internet開放的網(wǎng)站上設(shè)計實現(xiàn)一個用戶權(quán)限控制管理系統(tǒng)通常都要花費很多的時間。ASP.NET MVC3內(nèi)置了基于角色的訪問控制模塊，實現(xiàn)基于窗體的用戶身份驗證和權(quán)限控制功能，這里淺析其實現(xiàn)方式。

1 Forms身份驗證的原理

ASP.NET在Internet上的應用程序廣泛采用Forms身份驗證方式。由于HTTP協(xié)議是無狀態(tài)的，WEB服務(wù)器每次在處理請求時，都會按照用戶所訪問的資源所對應的處理代碼，從頭到尾執(zhí)行一遍，然后輸出響應內(nèi)容，WEB服務(wù)器不會記住已處理了哪些用戶的請求。

雖然HTTP協(xié)議是無狀態(tài)的，我們的業(yè)務(wù)需求卻要求WEB服務(wù)器能夠記住用戶的身份，驗證用戶的權(quán)限。這通常是通過Cookie或者Session來實現(xiàn)，他們都可以保存用戶的身份憑據(jù)，在不同的HTTP請求之間維持狀態(tài)。Forms身份驗證也是通過這兩種方式來實現(xiàn)，既可以讀取用戶瀏覽器中加密存儲的Cookie，在瀏覽器不支持Cookie的情況下也可以使用SessionID來實現(xiàn)身份驗證。只需要在Web.config文件中簡單配置即可。

用戶身份驗證是用戶權(quán)限控制的基礎(chǔ)。

2 ASP.NET MVC3基于角色的權(quán)限控制

ASP.NET MVC3提供了幾個關(guān)鍵類來管理用戶驗證與授權(quán)功能

Membership集中了用戶賬戶的創(chuàng)建、刪除，密碼的重置與修改等與用戶賬戶密切相關(guān)的功能。

Roles將用戶與角色聯(lián)系在一起，一個用戶可以屬于多個角色，以此來對用戶進行不同的授權(quán)。

Profiles用來存儲用戶的任意個人數(shù)據(jù)，如用戶的昵稱、偏好等數(shù)據(jù)。

以上關(guān)鍵類提供的功能，其具體實現(xiàn)只需要在Web.config文件中配置成微軟提供給我們的提供者（Provider）即可。

這充分體現(xiàn)了面向?qū)ο笏枷氲尼槍涌诰幊痰奶攸c，我們可以編寫自己的Provider來替換掉默認的Provider從而實現(xiàn)功能擴展。微軟提供的默認實現(xiàn)可以很好的工作在大部分場景中，而且如果將來有必要升級到自己的方案，也無需對程序做出大量改動。

XML格式的配置文件清晰易讀，并且提供了豐富的配置選項，可以方便的設(shè)置密碼最小長度，密碼最大錯誤次數(shù)，是否允許找回密碼、是否允許重置密碼等多種參數(shù)。

3 將權(quán)限控制與MVC架構(gòu)結(jié)合

不同于ASP.NET WEB應用程序，在MVC3架構(gòu)下，URL與物理頁面之間不再存在一一對應關(guān)系。MVC3架構(gòu)中URL要首先經(jīng)過路由（Router）處理，分析之后通過路由規(guī)則匹配到對應的Controller，由Controller負責呈現(xiàn)頁面。而路由規(guī)則是可以經(jīng)常變化的。以往在ASP.NET WEB應用程序中對頁面設(shè)置訪問權(quán)限的辦法已經(jīng)不再適用。所以我們現(xiàn)在使用過濾器（Filter）來給用戶授權(quán)。

最常用的權(quán)限過濾器是[Authorize]，用于Controller類或者Controller方法上，表示此類中的所有方法或者某個方法只有通過驗證的用戶才能調(diào)用。加入?yún)?shù)之后如[Authorize（Roles=”Admin”）]表示只有屬于Admin用戶組的用戶才可以調(diào)用此方法。Authorize過濾器可以被繼承，方便開發(fā)者編寫自己的授權(quán)方法。使用過濾器來進行訪問控制是AOP編程在WEB開發(fā)中的經(jīng)典模型。

4 結(jié)語

ASP.NET MVC3向廣大開發(fā)者提供了不用編寫復雜代碼就可以使用的功能全面的基于角色的用戶訪問控制方案。這套方案的擴展性也相當好，如果掌握了自定義Provider和Filter的編寫方法，完全可以實現(xiàn)更多的高級功能，滿足各種業(yè)務(wù)場景的需要。

[參考文獻]

[1]Adam Freeman，Steven Sanderson. Pro ASP.NET MVC3 Framework Third Edition，Apress，2011.