1) 什么是过滤器
1、过滤器(Filters)就是向请求处理管道中注入额外的逻辑。提供了一个简单而优雅的方式来实现横切关注点。
2、所谓的过滤器(Filters),MVC框架里面的过滤器完全不同于ASP.NET平台里面的Request.Filters和Response.Filter对象,它们主要是实现请求和响应流的传输。通常我们所说的过滤器是指MVC框架里面的过滤器。
3、过滤器可以注入一些代码逻辑到请求处理管道中,是基于C#的Attribute的实现。当负责调用Action的类ControllerActionInvoker在调用执行Action的时候会检查Action上面的Attribute并查看这些Attribute是否实现了指定的接口,以便进行额外的代码注入处理。
2) Authorize授权过滤器
Authorize授权过滤器可以在控制器和Action方法使用Authorize特性,在授权过后的用户才可以访问控制器或Action方法。
新建项目,新建AuthorizeController。
在AuthorizeController里面新建两个Action,每个Action添加视图,有一个<h2>标签作为标示。
在AuthorizeAction Action方法上面加上[Authorize]特性。
直接运行程序,地址栏输入/Authorize/index。成功打开页面。
地址栏输入/Authorize/AuthorizeAction。页面提示通过身份验证的用户无权访问处理请求所需的资源。证明了特性[Authorize]起到了作用。
但是这个提示并不友好。权限不足时我们更希望会跳转到一个登陆页面。
在Web.config配置文件<system.web>段内输入代码
<authentication mode="Forms">
<forms loginUrl="~/Authorize/Index" timeout="2880" />
</authentication>
可以把不通过权限认证的用户转到/Authorize/Index页面,timeout指定用户的cookie身份信息存在2880分钟。
运行程序,地址栏输入/Authorize/AuthorizeAction。页面被带到了/Authorize/Index。
先把没有没有验证的用户跳转到 Load action方法进行登陆。
用前一章ef生成模型的方法生成模型用于登陆。
新建get特性的load action,利用基架添加Create的view页面。
基架生成的view页面。
再新建post特性的load action。向数据库查询符合登陆用户名和密码,如果有,就会添加用户名的cookie,维持2880分钟,再跳转到/Authorize/AuthorizeAction页面,表示成功。
运行程序,地址栏输入/Authorize/AuthorizeAction,然后没有权限被带到/Authorize/Load。
输入数据库不存在的name和password,提交,页面不进行跳转。
然后输入数据库有的,提交。
页面成功转到/Authorize/AuthorizeAction,实现了功能。而且cooike存在时间内,/Authorize/AuthorizeAction页面可以直接访问,无须登陆。
下面修改AuthorizeAction view页面。
@User.Identity.Name可以获取当前有登陆权限的用户name。
新建,Lout Action方法,FormsAuthentication.SignOut()删除用户权限。回到登陆页面。
运行程序,地址栏输入/Authorize/AuthorizeAction。因没有权限返回/Authorize/Load,输入正确用户名和密码,登陆。
顺利进入/Authorize/AuthorizeAction页面,点击注销。
回到登陆页面,此时地址栏输入/Authorize/AuthorizeAction。
无法跳转,证明用户权限已被删除。
1) 自定义授权过滤器
如果要自定定义授权过滤器,需要继承AuthorizeAttribute。新建Extensions文件夹,里面新建UserAuthorize类,继承AuthorizeAttribute。
重写OnAuthorization,AuthorizeCore,HandleUnauthorizedRequest方法。
执行OnAuthorization。
22-25行判断是否获得权限认证,没有就转至新的登陆页面。
30-36行查询请求的控制器和方法可以被那些角色访问。然后加入到Roles”角色”里面。
执行AuthorizeCore。
主要获取到当前拥有登陆权限的User,再在初始数据(或数据库)中查询出其角色是否能访问当前的action。返回faslse则转到HandleUnauthorizedRequest。
执行HandleUnauthorizedRequest。
没有授权访问时返回的视图。
所用到的model,放到Models文件夹内。
User:定义用户和角色。
Role:定义角色的名称。
RoleWithControllerAction:定义Controller Action只能由那些角色来访问。
新建DataBase文件夹,里面新建SampleData类用于初始化数据。
在AuthorizeController控制器中新建两个action用于简单登陆。
EasyLoad View。
新建三个action ,Administrators,SeniorMemberJuniorMember。分别用于三种角色的权限访问。每个action 都有自己的view页面作为标示。使用自定义权限特性 [UserAuthorize(AuthorizationFailView = "Error")]。
运行程序,地址栏输入/Authorize/Administrators。在没有登陆用户的情况下页面会跳转到/Authorize/EasyLoad要求登陆。
输入”3”登陆。页面转到/Authorize/AuthorizeAction。
尝试转到/Authorize/Administrators和/Authorize/SeniorMember都提示失败,因为初始数据中用户”3”的角色只能访问/Authorize/JuniorMember。
地址栏输入/Authorize/JuniorMember。成功。
点击注销。在/Authorize/EasyLoad页面登陆用户”1”。
因为初始数据中用户”1”的角色可以访问。/Authorize/Administrators,/Authorize/SeniorMember,/Authorize/JuniorMember。
所以访问这些页面没有转到错误页面。
4) 操作和结果过滤器
操作和结果过滤器用于action执行前,action执行后,action返回前,action返回后的操作。
使用操作和结果过滤器,需要继承ActionFilterAttribute类。在Extensions文件夹下新建ActionFilters类,并继承ActionFilterAttribute。
转到ActionFilterAttribute,可重写四个方法。
OnActionExecuted:在执行操作方法后由 ASP.NET MVC 框架调用。
OnActionExecuting:在执行操作方法之前由 ASP.NET MVC 框架调用。
OnResultExecuted:在执行操作结果后由 ASP.NET MVC 框架调用。
OnResultExecuting:在执行操作结果之前由 ASP.NET MVC 框架调用。
重写了四个方法,在操作和结果过滤器执行时用filterContext.HttpContext.Response.Write(“”)在页面显示一些执行信息。
新建ActionFiltersController控制器,添加Index action。使用自定义的操作和结果过滤器[ActionFilters]。action返回一段<h2>标签。添加View视图输出<h2>作为标示。
运行程序,地址栏输入/ActionFilters/Index。可以看到action和View执行前后都插入了对应的文字,对action操作和返回结果进行控制。
我们可以把操作和结果过滤器ActionFilterAttribute做到自定义权限过滤器AuthorizeAttribute同样的效果。
在文件夹Extensions新建ActionPremisFilters类,继承ActionFilterAttribute。
重写OnActionExecuting Action方法执行前的操作,根据登陆用户判断是否有权限,代码根自定义授权过滤器相似。
新建EasyLoad action方法,[httppost] EasyLoad action方法,用基架Create添加View视图,用于简单登陆。
添加SeniorMember action方法用于测试,使用操作和结果过滤器ActionPremisFilters标示,添加视图作为标示。
DataBase文件夹下SampleData数据初始类中添加新的数据,ActionFilters控制器和SeniorMember 方法只能由角色1,2访问。
运行程序,地址栏输入/ActionFilters/SeniorMember,自动转到ActionFilters/EasyLoad。输入3,登陆。
登陆后转到/ActionFilters/SeniorMember,显示错误。
清除Cookie,再次到/ActionFilters/SeniorMember,用1登陆。成功跳转,因为1在初始数据中,/ActionFilters/SeniorMember能给角色1,2进入,而用户1拥有角色1。
5) 过滤器的顺序
授权过滤器-操作过滤器-结果过滤器-异常过滤器
类上的过滤器优先于方法上的过滤器。
Order属性决定过滤器先后顺序。Order默认为-1。
重写Controller中虚方法优先于方法的过滤器。
