过滤器
提供的四种基本类型过滤器接口,IAuthorizationFilter、IActionFilter、IResultFilter和IExceptionFilter,可通过继承对应的接口和FilterAttrbute特性,定义自己的过滤器,也可继承内置的过滤器,重写相应的方法,完成自己的需求。
授权:IAuthorizeFilter 授权过滤器接口,对身份进行验证
活动:IActionFilter 行为过滤器接口, 执行Action方法前后执行逻辑
结果:IResultFilter 结果过滤器接口,提供了在返回结果前后执行方法
异常:IExceptionFilter 异常过滤器接口,可对其设定在出现异常后的处理方式和方法。
一.授权过滤器:
AuthorizeAttribute:授权过滤器特性,继承 FilterAttribute, IAuthorizationFilter
若是要自定义授权特性,可以继承于AuthorizeAttribute,然后重写AuthorizeCore(自定义授权)和HandleUnauthorizedRequest(授权失败执行逻辑)的方法。也可以直接继承于FilterAttribute和IAuthorizationFilter,重写OnAuthorization方法。
二:方法/行为结果过滤器:
自定义方法行为过滤器,只需要继承于ActionFilterAttribute即可,也可根据自己所需,是否继承IActionFilter和IResultFilter,再继承于FilterAttribute,自定义过滤器。
ActionFilterAttribute 继承了IActionFilter,IResultFilter接口,实现了接口方法。
OnActionExecuting:执行Action前执行
OnActionExecuted:执行Action后执行
OnResultExecuting:返回结果前执行方法
OnResultExecuted:返回结果后执行方法
三:异常过滤器
自定义异常过滤器,只需要继承于内置HandleErrorAttribute接口即可。也可自定义异常过滤器,继承于FilterAttribute 和IExceptionFilter.
OnException方法:在抛出异常时执行的方法。启用这个异常功能:
使用异常过滤器,需要两个步骤:
Web.Config 文件配置
<customErrors mode="On"></customErrors>
开启自定义错误配置
使用handleError特性注释动作或控制器类
[HandleError (Order = 1 ,ExceptionType = typeof(sqlException),
View = "错误处理的视图")]
Pubic ActionResult About(){}
Filter执行顺序
根据Order, Scope属性来过滤器的执行顺序,如果Order相同,则根据Scope来最终决定执行顺序。
执行优先级:Global过滤器—>Controller过滤器—>Action过滤器
public enum FilterScope
{
Action = 30,
Controller = 20,
First = 0,
Global = 10,
Last = 100
}
FilterProviders:
为筛选器提供一个注册点,内部有一个FilterCollection类型的Providers属性,可对筛选器集合进行添加,移除等操作。
FilterProviders用于注册FilterProvider的,静态构造器在加载的时候,会默认创建三种类型的对象并将其作为表示FilterProviderCollection集合的Providers属性值,
其构造函数如下:
static FilterProviders()
{
Providers = new FilterProviderCollection();
Providers.Add(GlobalFilters.Filters);
Providers.Add(new FilterAttributeFilterProvider());
Providers.Add(new ControllerInstanceFilterProvider());
}
构造函数中添加了全局过滤器和其他两个Provider对象. GlobalFilters的Filters属性的类型为GlobalFilterConllection。Providers是提供了一个注册点,首先注册全局过滤器
FilterAttribute 与FilterAttributeFilterProvider
FilterAttribute是所有过滤器的基类,其继承于Attribute和IMvcFilter接口.
ControllerDesciptor和ActionDescriptor
分别表示Controller和Action的ControllerDescriptor和ActionDescriptor实现了ICustomAttributeProvider接口,使其保证能使用Action和Controller上以及FilterAttribute上的所有特性。这两个类型也单独的实现了获得FilterAttribute的方法。
Controlles与ControllerInstanceFilterProvider
Controller内部也继承了筛选器的四大特性,可以说Controller本身就是一个过滤器。
ControllerInstanceFilterProvider是针对Controller的特殊的Filter,它的内部的GetFilter方法是通过指定的ControllerContext获得对应的Controller对象,并创建一个对应的Filter,Controller对象作为Filter对象的Instance属性值,这个Scope值为First,所以为第一个执行。
GlobalFilterCollection(全局过滤器集合)
FilterConfig.RegisterGlobalFilters(GlobalFilters.Filters);
//默认注册一个HanderError 过滤器
注册全局过滤器:GlobalFiters.Filters.add(new HanderError());
疑问:
1、Controller上的过滤器与Action中的过滤器什么区别?
Controller 上的过滤器比Action先执行,这是根据内部的FilterScope指定的。Controller上的过滤器应用于整个控制器,而Action的过滤器只应用于当前标识的action方法中。
2.Controller上的过滤器是否会继承父Controller上的过滤器
会的,只要在父Controller上标识了过滤器,其子Controller也会执行这个过滤器。
见演示。
MVC内置的过滤器:
一、OutputCache
它有一个默认的构造器,并有很多属性,这里选择几个说明一下:
·Duration 缓存的时间周期,以秒计
·Location 用于指定输出缓存项的位置
这个属性是一个枚举值:
public enum OutputCacheLocation {
Any, Client, Downstream, Server, None, ServerAndClient } |
默认值是Any,表示输出缓存可用于所有请求,包括客户端浏览器、代理服务器或处理请求的服务器上。
·VaryByParam 定义了一个分号分隔的字符串列表,用于使输出缓存发生变化。默认情况下,这些字符串与用GET方法属性发送的查询字符串值对应,或与用POST方法 发送的参数对应。当将该属性设置为多参数时,对于每个指定的参数,输出缓存都包含一个请求文档的不同版本。可能的值包括“none”、“*”和任何有效的 查询字符串或POST参数名称。
·Shared 布尔值,用于指明输出缓存是否可以被多个页共享。默认值为false
·CacheProfile 用于定义与该页关联的缓存设置的名称,类似于与配置文件缓存名称关联。
·NoStore 个布尔值,用于决定是否阻止敏感信息的二级存储。
例如:对时间进行缓存,在视图中:
@DateTime.Now.ToString()
为Action添加缓存
[OutputCache(Duration = 60, VaryByParam = "*")]
public ActionResult Example()
{
return View();
}
二、ValidateInput
该Action可以接受Html等危险代码
[ValidateInput(false)]
public ActionResult Example()
{
return View();
}
三、ValidateAntiForgeryTokenAttribute
用于验证服务器篡改。
[ValidateAntiForgeryToken]
public ActionResult Example()
{
return View();
}
CompressFilterAttribute的使用:
1.创建:
2.使用:
3.应用效果:
首先我们看看没有进行GZIP压缩的时候,首页的文件大小是多少?
再来看看执行了GZIP压缩后,文件的大小是多少?
压缩率为 71%。
ValidateAntiForgeryTokenAttribute的使用:
用于验证服务器篡改。模拟表单提交,加上后,可防止跨站攻击。
使用:1.在请求表单中添加:@Html.AntiForgeryToken();
页面上的Html.AntiForgeryToken()会给访问者一个默认为“RequestVerificationToken”的cookie和hide filed。
2. 在目标action上增加[ValidateAntiForgeryToken]特性,它是一个验证过滤器它主要检查
(1)请求的是否包含一个约定的AntiForgery名的cookie
(2)请求是否有一个Request.Form["约定的AntiForgery名"],约定的AntiForgery名的cookie和Request.Form值是否匹配
生成:Html.AntiForgeryToken()调用了AntiForgery静态类的GetHtml方法,它产生一个随机值然后分别存储到客户端cookie和页面的hidden field中。其中cookie的key的名字和页面hidden field的名字是一样的,默认都是"__RequestVerificationToken"。
如果页面中不存在id为” __RequestVerificationToken”的hidden field,或者Cookie中的key和页面中的hidden field 值不相等,则直接抛出HttpAntiForgeryException异常
参考网址:http://www.cnblogs.com/dragon_mail/archive/2011/07/10/2102364.html
http://www.cnblogs.com/ASPNET2008/archive/2010/03/09/1681990.html
http://msdn.microsoft.com/zh-cn/library/gg416513(v=vs.98).aspx