C#权限管理和设计浅谈
发布时间:2023-10-09 07:14:45
此文主要想和大家分享的是这段时间,对权限管理和设计的断断续续的思考学习,和个人的一些软件开发等方面的看法。
提到'权限管理和设计',大家可能会第一时间想到这园子里的 吉日嘎拉,在这方面他可以算是'大牛'或专家 ——他的'通用权限管理系统',究竟做的怎样,看看他的博客就差不多可以知道了(貌似我在给他做推广,呵呵...,but in fact,is not),别的暂且不敢说,最起码可以看出他研究的比较深入和狂热,其系统也具有一定的'成熟度',用他的话来说——就是在努力做到他的极致。他做的是通用权限管理系统,那么何为‘通用'?我谈下个人的理解:
a. (主流)数据库通用 ——即利用工厂等模式,可以方便适应不同(类型的)数据库,保证软件的可移植性。这点重点在数据库设计上!
b. 权限管理和判断 思想上的通用,相同解决或实现方法 or 思路 可以用在不同的开发语言和项目类型(大的方面 如:b/s 和 c/s)上,像吉日的权限系统 ——这方面,通用在,可应用在C#语言开发的web和WinForm程序中。 ——我个人认为:(实现上的)思想(或称之为 解决方案)通用更为重要,就像是一个不错的 购物车的实现思路或方案,可以很好的用在php、jsp、C#等语言开发的项目中。【问题的解决方案基本上与编程语言无关,不同的只是实现】。
我对权限管理和设计的思考和学习,其主要目的想:能在以后的项目开发中,利用自己的想法或(开发出)类似吉日兄弟的‘权限管理系统',可以快速有效的实现软件中的权限管理部分(个人目前对权限管理部分感觉还是件挺棘手的事情)。而学习和思考,我并不是仅仅局限于自己的(空)想法,也学习和研究一些 我自己感觉可完善自己的思路、可借鉴的项目案例,像:吉日的权限系统,(通用权限管理系统)FrameWork104Src,MemberShip,phpcms,ecshop等 ——但由于时间的关系,目前只粗略的看了下前面的两个。【思考和学习,或是研究,我建议的方法是:先自己确定或理出大概的思路,再借鉴和参考学习其它与你所研究方向相同的项目案例(最好是大型 具有一定的'成熟度'的项目),以完善自己的思路,(对参考项目)扬长补短,这样你的研究才能站在一个较高的起点(可称之为‘站在巨人的肩膀上',呵呵),且研究的结果也不至于'太失败';因为你的想法就是再好再独特,你也无法考虑周全,可能你自以为不错的想法,只能算是考虑到了问题某一方面的,与优秀的相比就没有可比性。比如:之前有人找我给他开发CMS系统,我就建议他:CMS系统如果想做好不是一个人能能完成的,是个比较庞大的工程,如果真想自己开发,最好借鉴下phpcms等流行的CMS系统,要不然做出来的东西 无论是功能上 还是易用性上,可能都不及人家一半。做项目或研究,不能盲目的去做,要多参考和学习优秀的项目,否则你的项目或研究就会'死'在开发上!】。
/// <summary>
/// 获得用户的权限,操作权限
/// </summary>
private void GetPermission()
{
this.DbHelper.Open();
// 用户的操作权限
this.btnUserAdd.Enabled = this.IsAuthorized("User.Add");
this.btnUserDelete.Enabled = this.IsAuthorized("User.Delete");
this.btnUserExport.Enabled = this.IsAuthorized("User.Export");
this.btnUserImport.Enabled = this.IsAuthorized("User.Import");
this.btnUserPrint.Enabled = this.IsAuthorized("User.Print");
this.btnUserUpdate.Enabled = this.IsAuthorized("User.Update");
// 角色的操作权限
this.btnRoleAdd.Enabled = this.IsAuthorized("Role.Add");
this.btnRoleDelete.Enabled = this.IsAuthorized("Role.Delete");
this.btnRoleExport.Enabled = this.IsAuthorized("Role.Export");
this.btnRoleImport.Enabled = this.IsAuthorized("Role.Import");
this.btnRolePrint.Enabled = this.IsAuthorized("Role.Print");
this.btnRoleUpdate.Enabled = this.IsAuthorized("Role.Update");
this.DbHelper.Close();
}
如上是 吉日的权限系统Permission项目中的一段代码,其作用,大家一看便知——根据当前登录用户的权限,判断页面上的按钮是否可用,之所以帖出来,是因为我个人感觉:这段代码不够简洁有效,建议可以考虑用集合来处理判断权限[这也是我已基本上考虑好,在自己的研究中可行 简单的方法,具体的想法还需要进一步整体考虑后,再和大家交流]。
在看(通用权限管理系统)FrameWork104Src系统时,也感觉其权限判断处理上有些繁琐,更重要的是,发现了一个bug——可能在不少软件中,都容易疏忽的地方——权限判断不够彻底。好的权限管理的实现,其结果应该是确保软件足够的安全,(从根源上)禁止用户"做他不能做的事"。此bug就是:我以A用户的身份登录系统后,此用户没有添加会员的权限,但我为了测试其权限控制的是否够彻底,直接在Url中访问 添加会员页面,谁知,进去了,不过,还好的是 在点击确定按钮时弹出'没有此操作权限'的提示 ——所以,在这里提醒下,目前正在做权限管理功能或模块的朋友,请检查下你软件中权限管理是否够安全彻底。操作按钮等不可见或不可用,并不能从根源上控制‘用户'操作,一定要在提交的方法或处理中加上权限判断。就像是:登录或注册等页面的提交js验证,无论写的多么完善或强大,都必须在后台代码中加必要的判断!
好了,暂时就写到这儿吧,(发现有时用心写篇博客,很需要时间,呵呵),希望有在做这方面研究的朋友多提意见!
猜你喜欢
- 1.springboot使用log4j2springboot使用的common-logging,底层兼容各种日志框架如,log4j2,slf
- 一、实现原理使用MockMvc发起请求,然后执行API中相应的代码,在执行的过程中使mock模拟底层数据的返回,最后结果验证。二、常用注解介
- spring boot实现自动输出word文档功能本文用到Apache POI组件组件依赖在pom.xml文件中添加<dependen
- 最近都在忙着写一个网站项目,今天做一个分页功能的时候,遇到了分页效果实现不了的问题,查了好久的资料,后来终于是成功解决啦,记录一下1.在po
- Android 动态改变布局 &n
- namespace ConsoleTest{ class Program  
- 本文实例讲述了Java设计模式之 * 模式。分享给大家供大家参考,具体如下: * 模式有三个要素——事件源、事件对象、 * 。事件源:顾名思
- 我们经常需要对我们的开发的软件做各种测试, 软件对系统资源的使用情况更是不可少, 目前有多个监控工具, 相比JProfiler对系统资源尤其
- Jedis事务我们使用JDBC连接Mysql的时候,每次执行sql语句之前,都需要开启事务;在MyBatis中,也需要使用openSessi
- 随着对多线程学习的深入,你可能觉得需要了解一些有关线程共享资源的问题. .NET framework提供了很多的类和数据
- 冒泡排序在八大排序中,冒泡排序是最为出名的排序算法之一!冒泡排序的代码还是相当简单的,两层循环,外层是冒泡轮数,里层是依次比较,这个算法的时
- 文件上传在Web应用中非常普遍,要在Java Web环境中实现文件上传功能非常容易,因为网上已经有许多用Java开发的组件用于文件上传,本文
- java 并发线程个数的确定本文从控制变量的角度来谈决定线程个数的依据。模型很简单,在实际的生产环境中,情况肯定比下文要复杂的多。要充分的进
- 一、在JAVA开发领域,目前可以通过以下几种方式进行定时任务1、单机部署模式Timer:jdk中自带的一个定时调度类,可以简单的实现按某一频
- 如下所示:String beginDate="1328007600000";SimpleDateFormat sdf=n
- 在微信公众号支付的API中没有这个接口,如果企业需要给用户转账,或者让用户提现或者给用户发红包等需要再商户平台中的产品中心分别开通。一、开通
- 本文实例讲述了C#中TreeView节点的自定义绘制方法。分享给大家供大家参考。具体如下:if ((e.State & TreeNo
- 获取map的值主要有四种方法,这四种方法又分为两类,一类是调用map.keySet()方法来获取key和value的值,另一类则是通过map
- //初始化propertiesProperties pro = new Properties();try { &nbs
- 本文介绍了Android BottomSheet效果的两种实现方式,分享给大家,具体如下:BottomSheet效果BottomSheet的