ASP MVC 工作流工具表单逻辑和权限
ASP MVC Workflow tool form logic and permissions
我正在创建一个将在我们公司内部网上使用的工作流工具。用户使用 Windows 身份验证进行身份验证,我设置了一个自定义 RoleProvider,将每个用户映射到一对角色。
一个角色表示他们的资历(来宾、用户、高级用户、经理等),另一个表示他们的role/department(分析、开发、测试等)。 Analytics 中的用户能够创建一个请求,然后在链上向上流动到开发等:
型号
public class Request
{
public int ID { get; set; }
...
public virtual ICollection<History> History { get; set; }
...
}
public class History
{
public int ID { get; set; }
...
public virtual Request Request { get; set; }
public Status Status { get; set; }
...
}
在控制器中,我有一个 Create() 方法,它将创建请求 header 记录和第一个历史记录项:
请求控制器
public class RequestController : BaseController
{
[HttpPost]
[ValidateAntiForgeryToken]
public ActionResult Create (RequestViewModel rvm)
{
Request request = rvm.Request
if(ModelState.IsValid)
{
...
History history = new History { Request = request, Status = Status.RequestCreated, ... };
db.RequestHistories.Add(history);
db.Requests.Add(request);
...
}
}
}
请求的每个后续阶段都需要由链中的不同用户处理。该过程的一小部分是:
- 用户创建请求 [分析,用户]
- 经理授权请求 [分析,经理]
- 开发人员处理请求 [开发,用户]
目前我有一个 CreateHistory() 方法来处理流程的每个阶段。从View中拉取新的History项的状态:
// GET: Requests/CreateHistory
public ActionResult CreateHistory(Status status)
{
History history = new History();
history.Status = status;
return View(history);
}
// POST: Requests/CreateHistory
[HttpPost]
[ValidateAntiForgeryToken]
public ActionResult CreateHistory(int id, History history)
{
if(ModelState.IsValid)
{
history.Request = db.Requests.Find(id);
...
db.RequestHistories.Add(history);
}
}
CreateHistory 视图本身将根据状态呈现不同的部分表单。我的意图是我可以为过程中的每个阶段使用一个通用的 CreateHistory 方法,使用 Status 作为参考来确定要呈现哪个局部视图。
现在,问题出现在视图中呈现和限制可用操作。我的 CreateHistory 视图因 If 语句而变得臃肿,以根据请求的当前状态确定操作的可用性:
@* Available user actions *@
<ul class="dropdown-menu" role="menu">
@* Analyst has option to withdraw a request *@
<li>@Html.ActionLink("Withdraw", "CreateHistory", new { id = Model.Change.ID, status = Status.Withdrawn }, null)</li>
@* Request manager approval if not already received *@
<li>...</li>
@* If user is in Development and the Request is authorised by Analytics Manager *@
<li>...</li>
...
</ul>
使正确的操作在正确的时间出现是容易的部分,但感觉这是一种笨拙的方法,我不确定我将如何以这种方式管理权限。所以我的问题是:
我是否应该为 RequestController 中流程的每个阶段创建一个单独的方法,即使这会导致很多非常相似的方法?
例如:
public ActionResult RequestApproval(int id)
{
...
}
[MyAuthoriseAttribute(Roles = "Analytics, User")]
[HttpPost]
[ValidateAntiForgeryToken]
public ActionResult RequestApproval(int id, History history)
{
...
}
public ActionResult Approve (int id)
{
...
}
[MyAuthoriseAttribute(Roles = "Analytics, Manager")]
[HttpPost]
[ValidateAntiForgeryToken]
public ActionResult Approve (int id, History history)
{
...
}
如果是这样,我该如何处理在视图中呈现相应的按钮?我只希望一组有效的操作显示为控件。
很抱歉 post,任何帮助将不胜感激。
在使用 MVC(或者,任何语言)编码时,我会尽量让所有或大部分逻辑语句远离我的视图。
我会将您的逻辑处理保留在您的 ViewModel 中,所以:
public bool IsAccessibleToManager { get; set; }
那么在你看来,像@if(Model.IsAccessibleToManager) {}.
这样使用这个变量就很简单了
然后将其填充到您的 Controller 中,并且可以根据您认为合适的方式进行设置,可能在角色逻辑 class 中将所有这些都保存在一个地方。
至于控制器中的方法,请保持相同的方法,并在方法本身内部进行逻辑处理。这完全取决于您的结构和数据存储库,但我会在存储库级别保留尽可能多的逻辑处理本身,因此在您 get/set 数据的每个地方都是一样的。
通常情况下,您的属性标签不允许某些角色使用这些方法,但对于您的场景,您可以这样做...
[HttpPost]
[ValidateAntiForgeryToken]
public ActionResult Approve (int id, History history)
{
try {
// The logic processing will be done inside ApproveRecord and match up against Analytics or Manager roles.
_historyRepository.ApproveRecord(history, Roles.GetRolesForUser(yourUser));
}
catch(Exception ex) {
// Could make your own Exceptions here for the user not being authorised for the action.
}
}
如何为每种类型的角色创建不同的视图,然后通过单个操作返回适当的视图?
[HttpPost]
[ValidateAntiForgeryToken]
public ActionResult Approve (int id, History history)
{
// Some pseudo-logic here:
switch(roles)
{
case Manager:
case User:
{
return View("ManagerUser");
}
case Manager:
case Analyst:
{
return View("ManagerAnalyst");
}
}
}
当然,这种方法需要您为不同的角色组合创建一个视图,但至少您可以呈现适当的视图代码,而 UI 逻辑不会使视图混乱。
我建议同时使用声明和角色。如果角色需要访问资源,我会给他们一个资源声明,即 actionResult。如果他们的角色与控制器匹配,为简单起见,我目前检查他们是否拥有资源声明。我在控制器级别使用角色,因此如果来宾或其他一些帐户需要匿名访问,我可以简单地添加属性,但通常我应该将它放在正确的控制器中。
这里是一些要显示的代码。
<Authorize(Roles:="Administrator, Guest")>
Public Class GuestController
Inherits Controller
<ClaimsAuthorize("GuestClaim")>
Public Function GetCustomers() As ActionResult
Dim guestClaim As Integer = UserManager.GetClaims(User.Identity.GetUserId()).Where(Function(f) f.Type = "GuestClaim").Select(Function(t) t.Value).FirstOrDefault()
Dim list = _customerService.GetCustomers(guestClaim)
Return Json(list, JsonRequestBehavior.AllowGet)
End Function
End Class
我建议您使用提供程序为用户生成可用操作列表。
首先,我将定义 AwailableAction 枚举,而不是描述您的用户可能执行的操作。也许你已经有了。
然后你可以定义IAvailableActionFactory接口并用你的逻辑实现它:
public interface IAvailableActionProvider
{
ReadOnlyCollection<AwailableAction> GetAvailableActions(User, Request, History/*, etc*/) // Provide parameters that need to define actions.
}
public class AvailableActionProvider : IAvailableActionProvider
{
ReadOnlyCollection<AwailableAction> GetAvailableActions(User, Request, History)
{
// You logic goes here.
}
}
在内部,此提供程序将使用您当前在视图中实施的类似逻辑。这种方法将保持视图干净并确保逻辑的可测试性。在 provivder 中,您可以选择对不同的用户使用不同的策略,并使实现更加解耦。
然后在controller中定义对这个provider的依赖,如果你还没有使用container的话,直接通过container of instantioate来解决。
public class RequestController : BaseController
{
private readonly IAvailableActionProvider _actionProvider;
public RequestController(IAvailableActionProvider actionProvider)
{
_actionProvider = actionProvider;
}
public RequestController() : this(new AvailableActionProvider())
{
}
...
}
然后在您的操作中使用提供程序来获取可用的操作,您可以创建新的视图模型而不是包含操作或简单地将其放入 ViewBag:
// GET: Requests/CreateHistory
public ActionResult CreateHistory(Status status)
{
History history = new History();
history.Status = status;
ViewBag.AvailableActions = _actionProvider.GetAvailableActions(User, Request, history);
return View(history);
}
最后,您可以根据 ViewBag 中的项目生成操作列表。
希望对您有所帮助。如果您对此有任何疑问,请告诉我。
首先,如果您有很多逻辑封装在基于布尔的操作中,我强烈建议您使用规范模式 this and this 应该能让您顺利开始。它具有高度可重用性,并且在现有逻辑发生变化或您需要添加新逻辑时具有很好的可维护性。研究制定复合规范,准确指定可以 满足 的内容,例如如果用户是经理且请求未获批准。
现在关于您认为的问题 - 尽管我过去遇到同样的问题时采用了与 . It was simple and easy to work with but looking back at the app now I find it tedious since it is burried in if statements. The approach I would take now is to create custom action links or custom controls that take the authorization into context when possible. I started writing some code to do this but in the end realized that this must be a common issue and hence found something a lot better 类似的方法,而不是我自己打算为这个答案写的。尽管针对 MVC3,逻辑和目的仍然有效。
以下是摘录,以防文章被删除。 :)
这是检查授权属性的控制器的扩展方法。在 foreach 循环中,您可以检查您自己的自定义属性是否存在并对其进行授权。
public static class ActionExtensions
{
public static bool ActionAuthorized(this HtmlHelper htmlHelper, string actionName, string controllerName)
{
ControllerBase controllerBase = string.IsNullOrEmpty(controllerName) ? htmlHelper.ViewContext.Controller : htmlHelper.GetControllerByName(controllerName);
ControllerContext controllerContext = new ControllerContext(htmlHelper.ViewContext.RequestContext, controllerBase);
ControllerDescriptor controllerDescriptor = new ReflectedControllerDescriptor(controllerContext.Controller.GetType());
ActionDescriptor actionDescriptor = controllerDescriptor.FindAction(controllerContext, actionName);
if (actionDescriptor == null)
return false;
FilterInfo filters = new FilterInfo(FilterProviders.Providers.GetFilters(controllerContext, actionDescriptor));
AuthorizationContext authorizationContext = new AuthorizationContext(controllerContext, actionDescriptor);
foreach (IAuthorizationFilter authorizationFilter in filters.AuthorizationFilters)
{
authorizationFilter.OnAuthorization(authorizationContext);
if (authorizationContext.Result != null)
return false;
}
return true;
}
}
这是获取 ControllerBase 对象的辅助方法,该对象在上述代码段中用于询问操作过滤器。
internal static class Helpers
{
public static ControllerBase GetControllerByName(this HtmlHelper htmlHelper, string controllerName)
{
IControllerFactory factory = ControllerBuilder.Current.GetControllerFactory();
IController controller = factory.CreateController(htmlHelper.ViewContext.RequestContext, controllerName);
if (controller == null)
{
throw new InvalidOperationException(String.Format(CultureInfo.CurrentCulture, "The IControllerFactory '{0}' did not return a controller for the name '{1}'.", factory.GetType(), controllerName));
}
return (ControllerBase)controller;
}
}
这是自定义 Html 帮助程序,如果授权通过,它会生成操作 link。如果未授权,我已经从原始文章中对其进行了调整以删除 link。
public static MvcHtmlString ActionLinkAuthorized(this HtmlHelper htmlHelper, string linkText, string actionName, string controllerName, RouteValueDictionary routeValues, IDictionary<string, object> htmlAttributes)
{
if (htmlHelper.ActionAuthorized(actionName, controllerName))
{
return htmlHelper.ActionLink(linkText, actionName, controllerName, routeValues, htmlAttributes);
}
else
{
return MvcHtmlString.Empty;
}
}
像通常调用 ActionLink 一样调用它
@Html.ActionLinkAuthorized("Withdraw", "CreateHistory", new { id = Model.Change.ID, status = Status.Withdrawn }, null)
我正在创建一个将在我们公司内部网上使用的工作流工具。用户使用 Windows 身份验证进行身份验证,我设置了一个自定义 RoleProvider,将每个用户映射到一对角色。
一个角色表示他们的资历(来宾、用户、高级用户、经理等),另一个表示他们的role/department(分析、开发、测试等)。 Analytics 中的用户能够创建一个请求,然后在链上向上流动到开发等:
型号
public class Request
{
public int ID { get; set; }
...
public virtual ICollection<History> History { get; set; }
...
}
public class History
{
public int ID { get; set; }
...
public virtual Request Request { get; set; }
public Status Status { get; set; }
...
}
在控制器中,我有一个 Create() 方法,它将创建请求 header 记录和第一个历史记录项:
请求控制器
public class RequestController : BaseController
{
[HttpPost]
[ValidateAntiForgeryToken]
public ActionResult Create (RequestViewModel rvm)
{
Request request = rvm.Request
if(ModelState.IsValid)
{
...
History history = new History { Request = request, Status = Status.RequestCreated, ... };
db.RequestHistories.Add(history);
db.Requests.Add(request);
...
}
}
}
请求的每个后续阶段都需要由链中的不同用户处理。该过程的一小部分是:
- 用户创建请求 [分析,用户]
- 经理授权请求 [分析,经理]
- 开发人员处理请求 [开发,用户]
目前我有一个 CreateHistory() 方法来处理流程的每个阶段。从View中拉取新的History项的状态:
// GET: Requests/CreateHistory
public ActionResult CreateHistory(Status status)
{
History history = new History();
history.Status = status;
return View(history);
}
// POST: Requests/CreateHistory
[HttpPost]
[ValidateAntiForgeryToken]
public ActionResult CreateHistory(int id, History history)
{
if(ModelState.IsValid)
{
history.Request = db.Requests.Find(id);
...
db.RequestHistories.Add(history);
}
}
CreateHistory 视图本身将根据状态呈现不同的部分表单。我的意图是我可以为过程中的每个阶段使用一个通用的 CreateHistory 方法,使用 Status 作为参考来确定要呈现哪个局部视图。
现在,问题出现在视图中呈现和限制可用操作。我的 CreateHistory 视图因 If 语句而变得臃肿,以根据请求的当前状态确定操作的可用性:
@* Available user actions *@
<ul class="dropdown-menu" role="menu">
@* Analyst has option to withdraw a request *@
<li>@Html.ActionLink("Withdraw", "CreateHistory", new { id = Model.Change.ID, status = Status.Withdrawn }, null)</li>
@* Request manager approval if not already received *@
<li>...</li>
@* If user is in Development and the Request is authorised by Analytics Manager *@
<li>...</li>
...
</ul>
使正确的操作在正确的时间出现是容易的部分,但感觉这是一种笨拙的方法,我不确定我将如何以这种方式管理权限。所以我的问题是:
我是否应该为 RequestController 中流程的每个阶段创建一个单独的方法,即使这会导致很多非常相似的方法?
例如:
public ActionResult RequestApproval(int id)
{
...
}
[MyAuthoriseAttribute(Roles = "Analytics, User")]
[HttpPost]
[ValidateAntiForgeryToken]
public ActionResult RequestApproval(int id, History history)
{
...
}
public ActionResult Approve (int id)
{
...
}
[MyAuthoriseAttribute(Roles = "Analytics, Manager")]
[HttpPost]
[ValidateAntiForgeryToken]
public ActionResult Approve (int id, History history)
{
...
}
如果是这样,我该如何处理在视图中呈现相应的按钮?我只希望一组有效的操作显示为控件。
很抱歉 post,任何帮助将不胜感激。
在使用 MVC(或者,任何语言)编码时,我会尽量让所有或大部分逻辑语句远离我的视图。
我会将您的逻辑处理保留在您的 ViewModel 中,所以:
public bool IsAccessibleToManager { get; set; }
那么在你看来,像@if(Model.IsAccessibleToManager) {}.
然后将其填充到您的 Controller 中,并且可以根据您认为合适的方式进行设置,可能在角色逻辑 class 中将所有这些都保存在一个地方。
至于控制器中的方法,请保持相同的方法,并在方法本身内部进行逻辑处理。这完全取决于您的结构和数据存储库,但我会在存储库级别保留尽可能多的逻辑处理本身,因此在您 get/set 数据的每个地方都是一样的。
通常情况下,您的属性标签不允许某些角色使用这些方法,但对于您的场景,您可以这样做...
[HttpPost]
[ValidateAntiForgeryToken]
public ActionResult Approve (int id, History history)
{
try {
// The logic processing will be done inside ApproveRecord and match up against Analytics or Manager roles.
_historyRepository.ApproveRecord(history, Roles.GetRolesForUser(yourUser));
}
catch(Exception ex) {
// Could make your own Exceptions here for the user not being authorised for the action.
}
}
如何为每种类型的角色创建不同的视图,然后通过单个操作返回适当的视图?
[HttpPost]
[ValidateAntiForgeryToken]
public ActionResult Approve (int id, History history)
{
// Some pseudo-logic here:
switch(roles)
{
case Manager:
case User:
{
return View("ManagerUser");
}
case Manager:
case Analyst:
{
return View("ManagerAnalyst");
}
}
}
当然,这种方法需要您为不同的角色组合创建一个视图,但至少您可以呈现适当的视图代码,而 UI 逻辑不会使视图混乱。
我建议同时使用声明和角色。如果角色需要访问资源,我会给他们一个资源声明,即 actionResult。如果他们的角色与控制器匹配,为简单起见,我目前检查他们是否拥有资源声明。我在控制器级别使用角色,因此如果来宾或其他一些帐户需要匿名访问,我可以简单地添加属性,但通常我应该将它放在正确的控制器中。
这里是一些要显示的代码。
<Authorize(Roles:="Administrator, Guest")>
Public Class GuestController
Inherits Controller
<ClaimsAuthorize("GuestClaim")>
Public Function GetCustomers() As ActionResult
Dim guestClaim As Integer = UserManager.GetClaims(User.Identity.GetUserId()).Where(Function(f) f.Type = "GuestClaim").Select(Function(t) t.Value).FirstOrDefault()
Dim list = _customerService.GetCustomers(guestClaim)
Return Json(list, JsonRequestBehavior.AllowGet)
End Function
End Class
我建议您使用提供程序为用户生成可用操作列表。
首先,我将定义 AwailableAction 枚举,而不是描述您的用户可能执行的操作。也许你已经有了。
然后你可以定义IAvailableActionFactory接口并用你的逻辑实现它:
public interface IAvailableActionProvider
{
ReadOnlyCollection<AwailableAction> GetAvailableActions(User, Request, History/*, etc*/) // Provide parameters that need to define actions.
}
public class AvailableActionProvider : IAvailableActionProvider
{
ReadOnlyCollection<AwailableAction> GetAvailableActions(User, Request, History)
{
// You logic goes here.
}
}
在内部,此提供程序将使用您当前在视图中实施的类似逻辑。这种方法将保持视图干净并确保逻辑的可测试性。在 provivder 中,您可以选择对不同的用户使用不同的策略,并使实现更加解耦。
然后在controller中定义对这个provider的依赖,如果你还没有使用container的话,直接通过container of instantioate来解决。
public class RequestController : BaseController
{
private readonly IAvailableActionProvider _actionProvider;
public RequestController(IAvailableActionProvider actionProvider)
{
_actionProvider = actionProvider;
}
public RequestController() : this(new AvailableActionProvider())
{
}
...
}
然后在您的操作中使用提供程序来获取可用的操作,您可以创建新的视图模型而不是包含操作或简单地将其放入 ViewBag:
// GET: Requests/CreateHistory
public ActionResult CreateHistory(Status status)
{
History history = new History();
history.Status = status;
ViewBag.AvailableActions = _actionProvider.GetAvailableActions(User, Request, history);
return View(history);
}
最后,您可以根据 ViewBag 中的项目生成操作列表。
希望对您有所帮助。如果您对此有任何疑问,请告诉我。
首先,如果您有很多逻辑封装在基于布尔的操作中,我强烈建议您使用规范模式 this and this 应该能让您顺利开始。它具有高度可重用性,并且在现有逻辑发生变化或您需要添加新逻辑时具有很好的可维护性。研究制定复合规范,准确指定可以 满足 的内容,例如如果用户是经理且请求未获批准。
现在关于您认为的问题 - 尽管我过去遇到同样的问题时采用了与
以下是摘录,以防文章被删除。 :)
这是检查授权属性的控制器的扩展方法。在 foreach 循环中,您可以检查您自己的自定义属性是否存在并对其进行授权。
public static class ActionExtensions
{
public static bool ActionAuthorized(this HtmlHelper htmlHelper, string actionName, string controllerName)
{
ControllerBase controllerBase = string.IsNullOrEmpty(controllerName) ? htmlHelper.ViewContext.Controller : htmlHelper.GetControllerByName(controllerName);
ControllerContext controllerContext = new ControllerContext(htmlHelper.ViewContext.RequestContext, controllerBase);
ControllerDescriptor controllerDescriptor = new ReflectedControllerDescriptor(controllerContext.Controller.GetType());
ActionDescriptor actionDescriptor = controllerDescriptor.FindAction(controllerContext, actionName);
if (actionDescriptor == null)
return false;
FilterInfo filters = new FilterInfo(FilterProviders.Providers.GetFilters(controllerContext, actionDescriptor));
AuthorizationContext authorizationContext = new AuthorizationContext(controllerContext, actionDescriptor);
foreach (IAuthorizationFilter authorizationFilter in filters.AuthorizationFilters)
{
authorizationFilter.OnAuthorization(authorizationContext);
if (authorizationContext.Result != null)
return false;
}
return true;
}
}
这是获取 ControllerBase 对象的辅助方法,该对象在上述代码段中用于询问操作过滤器。
internal static class Helpers
{
public static ControllerBase GetControllerByName(this HtmlHelper htmlHelper, string controllerName)
{
IControllerFactory factory = ControllerBuilder.Current.GetControllerFactory();
IController controller = factory.CreateController(htmlHelper.ViewContext.RequestContext, controllerName);
if (controller == null)
{
throw new InvalidOperationException(String.Format(CultureInfo.CurrentCulture, "The IControllerFactory '{0}' did not return a controller for the name '{1}'.", factory.GetType(), controllerName));
}
return (ControllerBase)controller;
}
}
这是自定义 Html 帮助程序,如果授权通过,它会生成操作 link。如果未授权,我已经从原始文章中对其进行了调整以删除 link。
public static MvcHtmlString ActionLinkAuthorized(this HtmlHelper htmlHelper, string linkText, string actionName, string controllerName, RouteValueDictionary routeValues, IDictionary<string, object> htmlAttributes)
{
if (htmlHelper.ActionAuthorized(actionName, controllerName))
{
return htmlHelper.ActionLink(linkText, actionName, controllerName, routeValues, htmlAttributes);
}
else
{
return MvcHtmlString.Empty;
}
}
像通常调用 ActionLink 一样调用它
@Html.ActionLinkAuthorized("Withdraw", "CreateHistory", new { id = Model.Change.ID, status = Status.Withdrawn }, null)