[翻译]No.9356 SharePoint Pages（5）之应用程序页的安全性

TOUVE

　　应用程序页的安全性
　　接下来我们将开始考虑应用程序页的安全问题。你可能会有疑问，为什么需要开发者来考虑SharePoint的安全问题？因为很多开发人员在编写代码的时候经常规避SharePoint本身继承的安全逻辑代码，由脆弱的应用程序页使得SharePoint站点暴露在危险之中。在我们上面的示例中，默认是SharePoint网站的每个用户都可以访问应用程序页查看网站运行状况。然而，在实际情况中，大多数用户是不允许看到这些信息的，这时，好的处理方法就是限制只让网站集管理员来访问这些信息。
　　有几种方法可以控制执行应用程序页的权限。在这一章中，我们将着眼于三种最常见的。第一种方法是通过验证权限级别安全控制访问应用程序页。权限级别定义为最基本的权限定义，比如管理站点，打开列表等，可授予用户或SharePoint用户组列表、库或者站点的各种权限。SharePoint对象模型中提供权限级别角色的定义对象SPRoleDefinition。如表10-2所示，默认安装后SharePoint有五种级别的管理权限。管理员还可以新建、编辑和删除权限。
　　表 10-2 ：SharePoint 权限级别

权限级别	描述
受限访问	受限访问，限制用户只能访问特定的列表、文档库、项目获文档，而不是让他们访问整个的站点，受限访问不能自定义或删除。
只读	用户或者用户组对网站只有读取的权限，其限制在于只能查看列表、页面打开列表项或者文档。
参与讨论	在列表和库中用户有添加、编辑和删除项的权限。
设计	用户或用户组可以创建列表和文档库；编辑页面；修改默认主题和为站点添加样式表。
完全控制	这个权限为站点最高权限，可以自定义或删除站点。

　　　　为了使我们的页面更加安全，在代码10-7中，我们添加了权限级别检查，只有“完全控制”级别才能查看网站使用信息的应用程序页。
　　
　　　　要检测权限级别，我们首先需要通过SPSite对象的OpenWeb方法获取到SPWeb对象，这个方法会返回网站集的顶级站点对象，SPWeb对象不能手工通过构造函数创建。接下来，创建一个SPRoleDefinitionBindingCollection对象存储从SPWeb中获取的AllRolesForCurrentUser属性的登陆用户的所有角色信息。下一行，我们创建了一个SPRoleDefinitionCollection对象用来存储该站点定义的所有角色。之后，我们需创建一个SPRoleDefinition对象，来标识出那些角色具有完全控制权限。
　　　　在“if”代码分支中，如果用户具有“完全控制”权限则执行显示网站集使用信息。否则之间转入SharePoint的标准限制访问提示页面（accessdenied.aspx），这个页面也是个标准应用程序页。
　　　　第二种方法是判断用户是否拥有相应权限组的权限。如表10-3所示，占地那会默认创建三个不同的权限组，站点管理员可以通过站点设置找到网站权限，来添加、编辑或删除这些权限组，以及权限组的成员。如代码10-8所示，在应用程序页中检测访问成员是否属于所有者组。
  表 10-3 ：SharePoint 用户组

用户组

描述

默认权限等级

网站所有者

拥有SharePoint网站完全控制权限

完全控制

网站成员

拥有网站参与讨论权限

参与讨论

网站查看者

用户只拥有只读权限

读取

　　
　　　　在获得SPWeb对象后，我们创建了一个名为“group”变量，赋值为“Team Site Owners”权限组，我们的网站的名称为“Team Site”。然后我们调用ContainsCurrentUser方法，来检查当前用户是否是该组的成员。如果是改组的成员，则我们返回网站统计信息页面。否则，我们将用户重定向到拒绝访问页面。
　　　　第三种方法，单独设置应用程序页权限，只允许网站集管理员访问。通过重写属性RequireSiteAdministrator（继承自基类LayoutsPageBase，SharePoint应用程序页属性），设置返回值为true。代码10-9所示内容：

　　总结
　　在本章的开始，我们深层次的了解了一下SharePoint的体系结构，简要的接触了一下使用SharePoint Designer创建和使用母版页和网站页面，并了解了网站页面和应用程序页直接的差异。Visual Studio虽然没有提供网站页面和母版页的支持，但是提供了应用程序页。最后，我们研究了如何创建和使用应用程序页，以及如何使用设置对它访问的权限。