刘佳

摘要：基于角色的访问控制模型是目前大多数网站系统所采用的权限控制策略，微软的.NET平台提供了基于角色的安全性模型，用户通过实现Iprincipal和IIdentity接口可以方便的构建高效的、可扩展的权限管理模块。

关键词：基于角色的访问控制；Iprincipal；IIdentity

中图分类号：TP311 文献标识码：A 文章编号：1009-3044（2015）19-0001-02

1基于角色的权限管理

基于角色的访问控制（RBAC）模型的主要作用是管理用户与权限间的对应关系，基本思想是在用户和权限之间加入一个角色，将访问控制分为两个步骤：用户与角色关联，角色与权限关联，从而实现了用户与权限的逻辑分离。RBAC模型的好处是可以简化权限管理、提高工作效率，使系统能够应对需求的变化，具有更好的扩展性。

2.NET基于角色的安全性

微软.NET平台提供了对RBAC模型的支持，开发者可以在此基础上实现用户权限管理功能，其中比较重要的两个概念是验证（authentication）和授权（authorization）。验证是指确定用户身份，授权是指根据用户身份确定用户权限。.NET提供了IIdentity和IPrincipal两个接口来完成验证和授权，实现了IIdentity接口的对象用于验证用户身份；实现了IPrincipal接口的对象用于确定用户角色进而为用户授权。

3权限管理模块设计与实现

3.1架构与功能

采用三层架构+简单工厂模式，分为数据层、业务层和表示层。功能包括用户管理，角色管理，权限管理，用户身份认证与授权。

3.2数据库实体关系模型

权限管理模块包含用户、角色、权限、用户一角色、角色一权限5个核心对象。因此，数据库中也对应包含5个表，分别是：users表，存储用户信息；roles表，存储角色信息；permissions表，存储权限信息；userrole表，存储用户与角色间的对应关系；ro-lepermisson表，存储角色与权限的对应关系。

3.3实体类设计

实体类与数据库表相对应，有users，roles，permissions三个类，仅负责实体的表示和数据的传递，不包含任何业务逻辑。

3.4业务层设计与实现

业务层包含3个主要类：users，roles，permissions分别实现用户、角色、权限的管理逻辑。以users为例，主要实现了用户的增、删、改、查和获取用户基本信息、角色信息和权限信息等功能。

3.5实现.NET基于角色的权限管理接口

用户可以通过编程实现IIdentity和IPrincipal接口来实现RBAC模型。IIdentity接口用于确定用户身份，包含两个重要属性：Name，获取当前用户的名称；IsAuthenticated，指示用户身份是否通过了验证。IPrincipal接口用于确定用户角色，包含一个属性-Identity，它包含当前用户的身份信息，它的类型是IIden-tity，也就是说IPrincipal必须实现IIdentity接口；此外IPrincipal接口还包含一个方法-IsInRole，用于确定当前用户是否属于指定的角色。

在ASP.NET中，用户身份信息存储在Httpcontext.User属性中，它接受并返回实现了IPrincipal接口的对象，而IPrincipal接口必须实现IIdentity接口，所以只要在程序中实现这两个接口，就可以将用户信息、角色信息、权限信息等保存到Httpcontext.User属性中，在程序中随时随地访问用户的相关信息。

创建一个Myprincipal类实现IPrincipal接口。其中比较重要的两个方法是：ValidateLogin（）一根据用户名和密码验证用户身份；Myprincipal（）一类的构造函数，得到用户角色和权限信息。代码如下。

3.6表示层调用

首先根据用户名和密码验证用户身份，通过验证的用户信息存储在Context.User中。