应用程序页的安全性
接下来我们将开始考虑应用程序页的安全问题。你可能会有疑问,为什么需要开发者来考虑SharePoint的安全问题?因为很多开发人员在编写代码的时候经常规避SharePoint本身继承的安全逻辑代码,由脆弱的应用程序页使得SharePoint站点暴露在危险之中。在我们上面的示例中,默认是SharePoint网站的每个用户都可以访问应用程序页查看网站运行状况。然而,在实际情况中,大多数用户是不允许看到这些信息的,这时,好的处理方法就是限制只让网站集管理员来访问这些信息。
有几种方法可以控制执行应用程序页的权限。在这一章中,我们将着眼于三种最常见的。第一种方法是通过验证权限级别安全控制访问应用程序页。权限级别定义为最基本的权限定义,比如管理站点,打开列表等,可授予用户或SharePoint用户组列表、库或者站点的各种权限。SharePoint对象模型中提供权限级别角色的定义对象SPRoleDefinition。如表10-2所示,默认安装后SharePoint有五种级别的管理权限。管理员还可以新建、编辑和删除权限。
表 10-2 :SharePoint 权限级别
|
权限级别 |
描述 |
|
受限访问 |
受限访问,限制用户只能访问特定的列表、文档库、项目获文档,而不是让他们访问整个的站点,受限访问不能自定义或删除。 |
|
只读 |
用户或者用户组对网站只有读取的权限,其限制在于只能查看列表、页面打开列表项或者文档。 |
|
参与讨论 |
在列表和库中用户有添加、编辑和删除项的权限。 |
|
设计 |
用户或用户组可以创建列表和文档库;编辑页面;修改默认主题和为站点添加样式表。 |
|
完全控制 |
这个权限为站点最高权限,可以自定义或删除站点。 |
为了使我们的页面更加安全,在代码10-7中,我们添加了权限级别检查,只有“完全控制”级别才能查看网站使用信息的应用程序页。
要检测权限级别,我们首先需要通过SPSite对象的OpenWeb方法获取到SPWeb对象,这个方法会返回网站集的顶级站点对象,SPWeb对象不能手工通过构造函数创建。接下来,创建一个SPRoleDefinitionBindingCollection对象存储从SPWeb中获取的AllRolesForCurrentUser属性的登陆用户的所有角色信息。下一行,我们创建了一个SPRoleDefinitionCollection对象用来存储该站点定义的所有角色。之后,我们需创建一个SPRoleDefinition对象,来标识出那些角色具有完全控制权限。
在“if”代码分支中,如果用户具有“完全控制”权限则执行显示网站集使用信息。否则之间转入SharePoint的标准限制访问提示页面(accessdenied.aspx),这个页面也是个标准应用程序页。
第二种方法是判断用户是否拥有相应权限组的权限。如表10-3所示,占地那会默认创建三个不同的权限组,站点管理员可以通过站点设置找到网站权限,来添加、编辑或删除这些权限组,以及权限组的成员。如代码10-8所示,在应用程序页中检测访问成员是否属于所有者组。
表 10-3 :SharePoint 用户组|
用户组 |
描述 |
默认权限等级 |
|
网站所有者 |
拥有SharePoint网站完全控制权限 |
完全控制 |
|
网站成员 |
拥有网站参与讨论权限 |
参与讨论 |
|
网站查看者 |
用户只拥有只读权限 |
读取 |
在获得SPWeb对象后,我们创建了一个名为“group”变量,赋值为“Team Site Owners”权限组,我们的网站的名称为“Team Site”。然后我们调用ContainsCurrentUser方法,来检查当前用户是否是该组的成员。如果是改组的成员,则我们返回网站统计信息页面。否则,我们将用户重定向到拒绝访问页面。
第三种方法,单独设置应用程序页权限,只允许网站集管理员访问。通过重写属性RequireSiteAdministrator(继承自基类LayoutsPageBase,SharePoint应用程序页属性),设置返回值为true。代码10-9所示内容:
总结
在本章的开始,我们深层次的了解了一下SharePoint的体系结构,简要的接触了一下使用SharePoint Designer创建和使用母版页和网站页面,并了解了网站页面和应用程序页直接的差异。Visual Studio虽然没有提供网站页面和母版页的支持,但是提供了应用程序页。最后,我们研究了如何创建和使用应用程序页,以及如何使用设置对它访问的权限。