ASP.NET MVC 4 过滤器(Authorize）

Authorize特性类AuthorizeAttribute就称作MVC的Filter，它在横向为MVC框架扩展功能，让我们可以更方便的处理日志、授权、缓存等而不影响纵向主体功能。

Authorization：实现IAuthorizationFilter接口，默认实现类AuthorizeAttribute，在调用Action方法前首先处理认证信息。

授权过滤器顾名思义就是授权用的，授权过滤器在方法执行之前执行，用于限制请求能不能进入这个方法，新建一个方法：

public JsonResult AuthorizeFilterTest()

{

return Json(new ReturnModel_Common { msg = "hello world!" });

}

直接访问得到结果：

现在假设这个AuthorizeFilterTest方法是一个后台方法，用户必须得有一个有效的令牌（token）才能访问，常规做法是在AuthorizeFilterTest方法里接收并验证token，但是这样一旦方法多了，每个方法里都写验证的代码显然不切实际，这个时候就要用到授权过滤器：

public class TokenValidateAttribute : AuthorizeAttribute

{

/// <summary>

/// 授权验证的逻辑处理。返回true则通过授权，false则相反

/// </summary>

/// <param name="httpContext"></param>

/// <returns></returns>

protected override bool AuthorizeCore(HttpContextBase httpContext)

{

string token = httpContext.Request["token"];

if (string.IsNullOrEmpty(token))

{

return false;

}

else

{

return true;

}

新建了一个继承AuthorizeAttribute的类，并重写了其中的AuthorizeCore方法，这段伪代码实现的就是token有值即返回true，没有则返回false，标注到需要授权才可以访问的方法上面：

[TokenValidate]public JsonResult AuthorizeFilterTest()

{ return Json(new ReturnModel_Common { msg = "hello world!" }) }

标注TokenValidate后，AuthorizeCore方法就在AuthorizeFilterTest之前执行，如果AuthorizeCore返回true，那么授权成功执行AuthorizeFilterTest里面的代码，否则授权失败。不传token：

传token：

不传token授权失败时进入了MVC默认的未授权页面。这里做下改进：不管授权是成功还是失败都保证返回值格式一致，方便前端处理，这个时候重写AuthorizeAttribute类里的HandleUnauthorizedRequest方法即可：

/// <summary>

/// 授权失败处理

/// </summary>

/// <param name="filterContext"></param>

protected override void HandleUnauthorizedRequest(AuthorizationContext filterContext)

{

base.HandleUnauthorizedRequest(filterContext);

var json = new JsonResult();

json.Data = new ReturnModel_Common

{

success = false,

code = ReturnCode_Interface.Token过期或错误,

msg = "token expired or error"

};

json.JsonRequestBehavior = JsonRequestBehavior.AllowGet;

filterContext.Result = json;

}

效果：

经验：授权过滤器最广泛的应用还是做权限管理系统，用户登录成功后服务端输出一个加密的token，后续的请求都会带上这个token，服务端在AuthorizeCore方法里解开token拿到用户ID，根据用户ID去数据库里查是否有请求当前接口的权限，有就返回true，反之返回false。这种方式做授权，相比登录成功给Cookie和Session的好处就是一个接口PC端、App端共同使用。

ASP.NET MVC 4 过滤器(Authorize）相关推荐

ASP.NET MVC动作过滤器
ASP.NET MVC中包含以下4种不同类型的Action Filter: 类型使用时机接口实现方法授权过滤器(Authorization Filter) 在执行任何Filter或Action ...
asp.net mvc 利用过滤器进行网站Meta设置
过去几年都是用asp.net webform进行开发东西,最近听说过时了,同时webform会产生ViewState(虽然我已经不用ruanat=server的控件好久了 :)),对企业应用无所谓,但 ...
ASP.NET MVC的过滤器笔记
过滤器概念 APS.NET MVC中(以下简称"MVC")的每一个请求,都会分配给相应的控制器和对应的行为方法去处理,而在这些处理的前前后后如果想再加一些额外的逻辑处理.这时候就用 ...
ASP.NET MVC AuthorizeAttribute
AuthorizeAttribute 是 ASP.NET MVC 的过滤器之一,又称为认证和授权过滤器,即判断登录与否授权与否.当为某个控制器或动作方法附加该特性时,没有登录或授权的账户是不能访问对应 ...
2021年最新ASP.NET MVC面试题汇总
这个给.NET开发者们整理了一份<.NET/C#面试手册>,目前大约4万字左右,初衷也很简单,就是希望在面试的时候能够帮助到大家,减轻大家的负担和节省时间.对于没有跳槽打算的也可以复习一下 ...
ASP.NET MVC过滤器自定义Authorize实现身份验证
最近在做一个.NET MVC框架的后台项目,涉及到5个权限,而控制器下的方法有些只能高权限用户使用,低权限用户不能访问,一开始是在方法里面写判断,但是功能方法多了以后,发现代码重复的很严重,不符合面向 ...
ASP.NET MVC使用Authorize过滤器验证用户登录
ASP.NET MVC使用Authorize过滤器验证用户登录.Authorize过滤器首先运行在任何其它过滤器或动作方法之前,主要用来做登录验证或者权限验证. 示例:使用Authorize过滤器实现 ...
ASP.NET MVC 过滤器(一)
ASP.NET MVC 过滤器(一) 前言前面的篇幅中,了解到了控制器的生成的过程以及在生成的过程中的各种注入点,按照常理来说篇幅应该到了讲解控制器内部的执行过程以及模型绑定.验证这些知识了.但是呢 ...
ASP.NET MVC 4 (三) 过滤器
先来看看一个例子演示过滤器有什么用: public class AdminController : Controller { // ... instance variables and constru ...

ASP.NET MVC 4 过滤器(Authorize）

ASP.NET MVC 4 过滤器(Authorize）相关推荐

最新文章

热门文章