Orchard提供了一套管理用户及角色的功能，一个用户可以拥有多种角色，一个角色也可分配给多个用户。一个角色可以拥有多种操作权限，一种操作权限也可赋予多个角色。对一个用户指定不同的角色，他就可以拥有不同的权限了。Orchard判断当前用户是否能进行某种操作，就是判断他是否拥有这种操作的权限。

一、视频会议培训回顾 在前一周我们做了两次视频会议培训，内容分别为AgileEAS.NET平台的整体结构及开源药店系统的搭建演俩、基于AgileEAS.NET的插件开发过程演示，以上内容在AgileEAS.NET平台视频会议培训第一辑-AgileEAS.NET平台介绍及药品系统的SAAS搭建演练、AgileEAS.NET平台视频会议培训第二辑-简单插件开发应用演练（速度下载）做了详细的介绍。

权限设置通常分为模块级别的权限设置，原子操作的权限设置，记录级别的权限设置。 模块级别的权限设置很简单，某个人或某个角色对没个模块有操作权限，要么就没有操作权限；原子操作的权限设置，是指对页面的控件的操作权限，某个用户或某个角色对某个控件有操作权限，或没有操作权限。记录级别的权限设置，通常也指数据的权限控制，某人或某角色对某些记录有查看权限，或对某个字段没有查看更新等操作权限。 在工作流集成自定义

一、需求 在管理数据库过程中，我们经常需要控制某个用户访问数据库的权限，比如只需要给这个用户访问某个表的权限，甚至是CRUD的权限，更小粒度的还可以去到某几个字段的访问权限。写这篇文章就是说明下这个操作过程。 其实这只是SQL Server权限管理很简单的一小块，有些地方并没有深入理解和讲述，只是希望对一些刚入门的童鞋有帮助，其它大侠就当是：我当堂吓一跳，然后得啖笑。（赌圣）   二、操

在《原理篇》中，我们谈到WCF自定义授权体系具有两个核心的组件：AuthorizationPolicy和ServiceAuthorizationManager，已经它们是如何写作最终提供一种基于声明的授权实现。为了让自定义授权有深刻的理解，我们来进行一个简单实例来演示如何通过自定义这两个组件实现“非角色授权策略”。[源代码从这里下载] 目录： 一、创建演示程序解决方案

到目前为止，我么介绍的授权策略都是围绕着安全主体进行的，基本上都是基于角色的授权。虽然角色是定义权限最为常用的形式，但是它解决不了授权的所有问题。基于角色的授权策略一般是这样的：需要进行访问控制的操作或者资源关联到某个角色上，那么只要访问者被分配了该角色，就被授予了相应的权限。那么假设我们的授权策略是这样的：访问权限和两个角色进行关联，访问者需要同时被分配了这两个角色才能被授权。这是一个很常见的授

在《原理篇》中我们谈到：如果采用自定义安全主体权限模式，我们可以通过自定义AuthorizationPolicy或者ServiceAuthorizationManager实现对基于当前认证用于相关的安全主体的提供，进而达到授权的目的。为了让大家对此有个更加深刻的认识，在这篇文章中我们会提供一个具体的例子。[源代码从这里下载] 目录： 一、创建自定义AuthorizationPol

用途：防止CSRF（跨网站请求伪造）。 用法：在View->Form表单中:<%:Html.AntiForgeryToken()%>         在Controller->Action动作上：[ValidateAntiForgeryToken] 原理： 1、<%:Html.AntiFo

在《通过扩展自行实现服务授权》一文中，我通过自定义CallContextInitializer的方式在操作方法之前之前根据认证用户设置了当前线程的安全主体，从而实现授权的目的。实际上，WCF的安全体系本就提供相应的扩展，使你能够自由地实现安全主体的提供方式。具体来说，安全主体的提供可以通过自定AuthorizationPolicy或者ServiceAuthorizationManager来实现。

其实针对安全主体的授权实现的原理很简单，原则上讲，只要你能在服务操作执行之前能够根据本认证的用户正确设置当前的安全主体就可以了。如果你了解WCF的整个运行时框架结构，你会马上想到用于授权的安全主体初始化可以通过自定义CallContextInitializer来实现。[源代码从这里下载] 目录： CallContextInitializer简介 步骤一、自定义CallCo

为了让读者对基于ASP.ENT Roles授权方式有一个全面的认识，我们现在来做一个实例演示。在这个实例中，我们将采用不同的认证方式，包括Windows认证和证书认证（ASP.NET Membership + Roles为常见的组合方式，在这里就不多作演示）。简单起见，我们依然沿用一贯的基于如下图所示的解决方案结构，并且依然采用声明式的授权。所以在服务操作方法Add上通过应用PrincipalPe

在采用Windows认证的情况下，使用基于Windows用户组安全主体权限模式是一个不错的选择。我们可以直接使用现有的用户组设置，也可以为相应的应用或服务创建单独的用户组。但是，由于该模式对Windows认证的依赖，意味着这种模式只能使用于局域网环境中。如果采用证书和Windows帐号的映射，也可以适用于像B2B这样的外部网环境。在其他的网络环境中，基于Windows用户组的授权方式将会无能为力。

由于服务操作是在寄宿进程中执行，在默认的情况下，服务操作是否具有足够的权限访问某个资源（比如文件）决定于执行寄宿进程Windows帐号的权限设置，而与作为客户端的Windows帐号无关。在有多情况下，我们希望服务操作执行在基于客户端的安全上下文中执行，以解决执行服务进行的帐号权限不足的问题。这就涉及到一个重要的话题——模拟（Impersonation）与委托（Delegation）[实例程序源代码

为了让读者对基于Windows用户组的授权具有深刻的认识，接下来我们通过一个简单的事例来讲解在真正的应用中该授权模式如何使用。对于接下来演示的事例，我们将采用Windows认证和授权。至于授权的最终实现，我们采用的是在服务方法上面应用PrincipalPermissionAttribute特性方式的声明式授权。[源代码从这里下载] 目录： 步骤一、创建测试帐号 步骤二、创

Windows用户组安全主体权限模式，顾名思义，就是将利用Windows安全系统将对应的Windows帐号所在的用户组作为该用户权限集的授权方式。认证和授权密不可分，但是对于认证和授权在WCF安全体系中的实现来说，它们则是相对独立的。认证属于安全传输的范畴，是在信道层实现的，而授权则是在服务模型层实现的。但是对于基于Windows用户组的授权来说，最终体现出来的授权行为却和采用何种认证具有密切的关

前面的两篇文章（《从两个重要的概念谈起：Identity与Principal[上篇]》和《从两个重要的概念谈起：Identity与Principal[下篇]》）主要探讨基于安全主体的授权。通过这些介绍我们知道：如果我们在实施授权的时候，当前线程的安全主体能够被正确设置，我们就可以正确地完成授权。基于相同的原理，对于WCF的服务授权，如果正确的安全主体能够在服务操作被执行之前被正确设置到当前线程，借

毫不夸张地说，安全主体（Principal）是整个授权机制的核心。我们可以简单地将将安全主体定义成能够被成功实施授权的主体。一个安全主体具有两个基本的要素：基于某个用户的安全身份和该用户具有的权限。绝大部分的授权都是围绕着“角色”进行的，我们将一组相关的权限集和一个角色绑定，然后分配给某个用户。所以在基于角色授权环境下，我们可以简单地将安全主体表示成：身份 + 角色。在.NET基于安全的应用编程接

在安全领域，认证和授权是两个重要的主题。认证是安全体系的第一道屏障，守护着整个应用或者服务的第一道大门。当访问者叩门请求进入的时候，认证体系通过验证对方提供凭证确定其真实身份。作为看门人的认证体系，只有在证实了访问者的真实身份的情况下才会为其打开城门，否则将之举之门外。 当访问者入门之后，并不意味着它可以为所欲为。为了让适合的人干适合的事，就需要授权机制为具体的人设置具体的权限，并根据这些权限设

         最近一直在忙项目的事情，今天有点空，刚好山东的一个源码学习者，问我怎么配置、安装、运行通用权限管理系统，WCF技术在通用权限管理系统中的处理方式。大约折腾了一个小时多，才让那位山东的朋友有点明白，现将配置的详细步骤发布出来，同时将通用权限管理系统的试用版也发布出来，大家体会体会，共同提高。 1.打开通用权限管理

系统入侵首先从账号权限修改开始，常见的操作有，给自己开新账号，修改已有账号权限，如：提升guest账号为管理员等，如果手工去检查账号的变化，不仅繁琐，而且会遗漏，因为有经验的黑客操作后，会清除事件日志。理想的方式是，只要服务器账号权限发生改变，就即时通知相关人员。在.net中，提供了EventLog对象，我们可以利用EventLog的EntryWrittenEvent事件来监控账号相关的操作。st