MVC特性认证 AuthorizeAttribute 类

最新推荐文章于 2022-03-31 09:33:51 发布
最新推荐文章于 2022-03-31 09:33:51 发布
阅读量1.6w 收藏 4
点赞数 3
分类专栏: MVC 认证 文章标签: mvc asp.net authentication class module string

许多 Web 应用程序要求在用户登录之后才授予其对受限制内容的访问权限。 在某些应用程序中,即使是登录的用户,也会限制他们可以查看的内容或可以编辑的字段。

要限制对 ASP.NET MVC 视图的访问,您可以限制对呈现视图的操作方法的访问。 为此,MVC 框架提供 AuthorizeAttribute 类。

有关使用特性的更多信息,请参见利用特性扩展元数据

本主题包含以下各节:

使用 AuthorizeAttribute

当您使用 AuthorizeAttribute 标记一个操作方法时,则限制只有经过身份验证和授权的用户才能访问该操作方法。 如果您使用该特性标记控制器,则限制控制器中的所有操作方法。

Authorize 特性允许您指明将授权限制给预定义角色或各个用户。 这使您可以高度控制谁有权查看网站上的任何页面。

如果未经授权的用户尝试访问用 Authorize 特性标记的方法,则 MVC 框架会返回 401 HTTP 状态代码。 如果站点配置为使用 ASP.NET Forms 身份验证,401 状态代码会导致浏览器将用户重定向到登录页。

派生自 AuthorizeAttribute

如果从 AuthorizeAttribute 类派生,则派生的类型必须为线程安全的类型。 因此,不要在类型本身的实例中存储状态(例如在实例字段中),除非该状态要应用于所有请求。 而是将每个请求的状态存储在 Items 属性中,可通过传递到AuthorizeAttribute 的上下文对象访问该属性。


[HandleError]
 public class HomeController : Controller
 {
     public ActionResult Index()
     {
         ViewData["Message"] = "Welcome to ASP.NET MVC!";

         return View();
     }

     public ActionResult About()
     {
         return View();
     }

     [Authorize]
     public ActionResult AuthenticatedUsers()
     {
         return View();
     }

     [Authorize(Roles = "Admin, Super User")]
     public ActionResult AdministratorsOnly()
     {
         return View();
     }

     [Authorize(Users = "Betty, Johnny")]
     public ActionResult SpecificUserOnly()
     {
         return View();
     }
 }
自定义AuthorizeAttribute

网站的权限判断是一个非常普遍的需求,从文章ASP.NET MVC的Action Filter中我们知道实现这样的需求只要从AuthorizeAttribute集成,重写相关的判断逻辑就可以了。这里记录一下:

namespace TokenAcl.Web.Helper 
{ 
public class TokenAclAuthorizeAttribute : AuthorizeAttribute 
{ 
protected override bool AuthorizeCore(HttpContextBase httpContext) 
{ 
bool result = false; 
if (httpContext == null) 
{ 
throw new ArgumentNullException("httpContext"); 
} 
string[] users = Users.Split(','); 
string[] roles = Roles.Split(','); 
if (!httpContext.User.Identity.IsAuthenticated) 
return false; 
if (roles.Length != 0) 
{ 
List<Role> rightRoles = RightClient.GetAllRole(TakenAclMenu.SystemID, TakenAclMenu.UserID); 
foreach (var role in roles) 
{ 
if (rightRoles.Where(x => x.Code == role).Count() > 0) 
{ 
result = true; 
break; 
} 
} 
} 
if (!result) 
{ 
httpContext.Response.StatusCode = 403; 
} 
return result; 
}
public override void OnAuthorization(AuthorizationContext filterContext) 
{ 
base.OnAuthorization(filterContext); 
if (filterContext.HttpContext.Response.StatusCode == 403) 
{ 
filterContext.Result = new RedirectResult("/Admin/Dashboard"); 
} 
} 
} 
}

从AuthorizeAttribute继承过来实现了一个类TokenAclAuthorizeAttribute ,重写了方法AuthorizeCore,使用自己开发的权限系统进行权限的验证,如果没有通过认证,这表示没有权限访问,设置 HTTP 状态代码为403。 这样还是不行,还得重写另一个方法OnAuthorization。AuthorizeCore方法返回false,MVC 此时将返回的ActionResult是HttpUnauthorizedResult: 

public class HttpUnauthorizedResult : ActionResult { 
public override void ExecuteResult(ControllerContext context) { 
if (context == null) { 
throw new ArgumentNullException("context"); 
} 
// 401 is the HTTP status code for unauthorized access - setting this 
// will cause the active authentication module to execute its default 
// unauthorized handler 
context.HttpContext.Response.StatusCode = 401; 
} 
}


从HttpUnauthorizedResult的源码可以看出,HttpUnauthorizedResult的执行很简单,就是设置当前的HttpContext.Response的状态码为401,这样就回激活authentication module 执行它默认的 unauthorized handler,也就是跳转到登陆页面的,这似乎也不符合逻辑,认证和授权应该是验证的两个方面。这不符合要求,用户已经登陆成功了,只是没有权限而已。我这里只是重写OnAuthorization方法,重定向到一个页面而已,也可以写一个ActionResult。


烈火蜓蜻
关注
专栏目录
asp.net MVCAuthorizeAttribute浅析
dietisi8980的博客
08-09 540
AuthorizeAttributeasp.net MVC的几大过滤器之一,俗称认证和授权过滤器,也就是判断登录与否,授权与否。当为某一个Controller或Action附加该特性时,没有登录或授权的账户是不能访问这些Controller或Action的。 在进入一个附加了Authorize特性的Controller或Action之前,首先执行的是AuthorizeAttribut...
.NET MVC5专题(特性篇【用户认证Authorize
一点一滴
01-13 1万+
/// <summary> /// ajax跟exception一致 /// 检验登陆和权限的filter /// </summary> [AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, Inherited = true)] public class AuthorityFilterAttrib...
MVC权限控制小例子(重写AuthorizeAttribute
03-12
通过重写AuthorizeAttribute实现对不同控制器的访问权限,比较简单的一个,你也可以加上自己的一些内容
C#_MVC 自定义AuthorizeAttribute实现权限管理
weixin_33970449的博客
06-14 297
随笔- 28 文章- 31 评论- 16 MVC 自定义AuthorizeAttribute实现权限管理 在上一节中提到可以使用AuthorizeAttribute进行权限管理: [Authorize] public ActionResult TestAuthorize() ...
MVC5的AuthorizeAttribute详解
weixin_30535843的博客
02-27 351
现今大多数的网站尤其是购物网站都要求你登录后才能继续操作,当你匿名的将商品放入购物车后,不可能匿名购买这时可以转到登录界面让用户进行登录验证。 适用系统自带的过滤器 MVC5只要将属性[Authorize]置于相关的action之前就行,那么在调用Buy action之前,就会运用Authorize过滤器。 1 [Authorize] 2 ...
MVC中使用AuthorizeAttribute做身份验证操作
热门推荐
田林的博客
07-24 3万+
代码顺序为:OnAuthorization-->AuthorizeCore-->HandleUnauthorizedRequest  如果AuthorizeCore返回false时,才会走HandleUnauthorizedRequest 方法,并且Request.StausCode会返回401,401错误又对应了Web.config中 的 <authentication m
ASP.NET MVC AuthorizeAttribute
JunChow
08-29 580
AuthorizeAttributeASP.NET MVC 的过滤器之一,又称为认证和授权过滤器,即判断登录与否授权与否。当为某个控制器或动作方法附加该特性时,没有登录或授权的账户是不能访问对应的控制器或动作方法的。 在进入一个附加Authorize特性的控制器或动作之前,首先执行的是 AuthorizeAttribute 的 OnAuthorization(Authori...
2020.10.22-MVC5过滤器(权限认证)与checkbox传值的相关问题
MrLsss的博客
10-22 364
一、checkbox传值:通过Name属性值获取 用户选中的项数据,会序列化成数组形式传递 后台代码: 二、MVC5的权限验证AuthorizeAttribute using Microsoft.Ajax.Utilities; using System; using System.Collections.Generic; using System.Linq; using System.Web; using System.Web.Helpers; using System.Web.Management;
C# MVC 权限管理源码
04-17
用户信息存储在数据库中,一般使用身份验证机制如ASP.NET Identity来处理用户的认证和授权。开发者可以通过自定义用户属性,添加如邮箱验证、手机验证码等增强安全性。 2. **角色管理**:角色是权限分配的基本单位...
Asp.net mvc 权限过滤和单点登录(禁止重复登录)
10-20
开发者可以利用框架内建的AuthorizeAttribute进行扩展,来适应不同的权限验证需求。同时,要实现单点登录和禁止重复登录功能,就需要对会话管理和用户状态维护有一定的了解和实现。这些功能的实现不仅有助于提升...
MVC 自定义AuthorizeAttribute实现权限管理
北极星的专栏
08-10 6150
MVCAuthorizeAttribute用法并实现授权管理 (2015-01-05 13:49:30) 转载▼ 标签: authorizeattribute handleunauthorized authorizecore 分MVC  MVCAuthorizeAttribute用法并实现授权管理   1.创建一个(用
关于MVC特性(AuthorizeAttribute)的一些理解
weixin_30263277的博客
10-14 139
许多 Web 应用程序要求在用户登录之后才授予其对受限制内容的访问权限。 在某些应用程序中,即使是登录的用户,也会限制他们可以查看的内容或可以编辑的字段。 要限制对 ASP.NET MVC 视图的访问,您可以限制对呈现视图的操作方法的访问。 为此,MVC 框架提供 AuthorizeAttribute MVC的一些特性,如下: BindAttribute(限制实体属...
【.NET MVCAuthorizeAttribute进行身份验证
MoFe1的博客
03-31 953
通过使用AuthorizeAttribute中的方法: AuthorizeCore(HttpContextBase) 重写时,提供一个入口点用于进行自定义授权检查。 HandleUnauthorizedRequest(AuthorizationContext) 处理未能授权的 HTTP 请求。 使用以上两个方法实现用户的身份校验 使用方法: 继承AuthorizeAttribute并重写AuthorizeAttribute中的AuthorizeCore方法 如: publi...
MVC 基于 AuthorizeAttribute 实现的登陆权限控制
dingtuo8679的博客
07-11 408
代码的执行顺序是 OnAuthorization–>AuthorizeCore–>HandleUnauthorizedRequest. 如果AuthorizeCore返回false时,才会走HandleUnauthorizedRequest 方法,并且Request.StausCode会返回401。 首先创建一个MCV的项目,在App_Start目录下创建一个UserA...
AuthorizeAttribute 加token验证特性
小猪快跑
05-30 3173
public override void OnAuthorization(AuthorizationContext filterContext) { var ValueProvider = filterContext.Controller.ValueProvider; JsonResult Json = new JsonRe...
小白之AuthorizeAttribute权限控制(一)
stoneLSL的博客
03-09 5667
关于权限控制的初步整理,持续更新
角色限制(AuthorizeAttribute
qiaozhu8343的博客
03-08 1287
首选,我看网上很多说System.Web.Mvc.AuthorizeAttribute的,有的只讲了用法,内部方法没有讲清,还有的说的太专业对于底层研究不深的朋友很不友好,因为这篇只是根据本人的胃口对MVC的这个组件进行整理 1.在网上看的资料 说以下的两块代码是 AuthorizeAttribute中,OnAuthorization和AuthorizeCore方法的源码 ,是不是源码我不清楚...
[转]MVC Action Filter
weixin_34162228的博客
11-27 180
ASP.NET MVC Framework支持四种不同型的Filter: Authorization filters – 实现IAuthorizationFilter接口的属性. Action filters – 实现IActionFilter接口的属性. Result filters – 实现IResultFilter接口的属性. Exception filters – 实现IEx...
ASP.NET MVC使用Authorize过滤器验证用户登录
pan_junbiao的博客
11-27 1万+
ASP.NET MVC使用Authorize过滤器验证用户登录。Authorize过滤器首先运行在任何其它过滤器或动作方法之前,主要用来做登录验证或者权限验证。 示例:使用Authorize过滤器实现简单的用户登录验证。 1、创建登录控制器LoginController /// &lt;summary&gt; /// 登录控制器 /// &lt;/summary&gt; [AllowAno...
Asp.Net MVC3 Controller Filter深度解析
Asp.Net MVC3中,Filter是一种强大的特性,它允许我们在Action执行前后添加自定义逻辑,实现了似AOP(面向切面编程)的功能。Filter主要分为四种型: 1. Authorization Filter:实现`IAuthorizationFilter`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值