ASP.NET MVC Filter筛选器的执行

最新推荐文章于 2024-01-15 11:53:22 发布
最新推荐文章于 2024-01-15 11:53:22 发布
阅读量504 收藏 2
点赞数
分类专栏: ASP.NET MVC4|MVC5 文章标签: c#
原文链接:https://blog.csdn.net/WuLex
版权

Filter筛选器的执行

ASP.NET-MVC的筛选器是一种基于AOP(面向方面编程)的设计,我们将一些非业务的逻辑实现在相应的筛选器,并以一种横切( Crosscutting)的方式应用到对应的 Action 方法上。
在这里插入图片描述

在Action方法执行前后,这些筛选器会自动执行。

ASP.NETMVC 提供了 AuthorizationFilter、ActionFilter、ResultFilter和ExceptionFilter这四种筛选器,它们对应着四个接口IAuthorizationFilter、IActionFilter、IResultFilter 和 IExceptionFilter。

经常应用在用户权限验证、系统日志、异常处理、缓存等功能上。

Filter类型接口MVC默认实现Description
AuthorizeIAuthorizationFilterAuthorizeAttribute最先执行,在其他类型的filter和action方法前执行
ActionFilterIActionFilterActionFilterAttribute在action方法执行前和执行后执行
ResultIResultFilterActionFilterAttribute在result执行前和执行后执行
ExceptionIExceptionFilterHandleErrorAttribute在抛出异常时执行,(异常发生在action/result/filter)

先后顺序
IAuthorizationFilter -> IActionFilter - >IResultFilter ->IExceptionFilter

AuthorizeAttribute

是所有Filter类型第一个执行的Filter,在Action调用前执行,需要实现IAuthorizationFilter接口。

我们可以通过使用控制器上或者控制器内部特定操作上的Authorize操作过滤器来实现,甚至可以为整个应用程序全局使用Authorize操作过滤器。

Authorize Attribute是ASP.NET MVC自带的默认授权过滤器,可用来限制用户对操作方法的访问。将该特性应用于整个控制器,就可以快速将其应用于控制器中的每个方法。

MSDN:

https://msdn.microsoft.com/zh-cn/library/system.web.mvc.authorizeattribute(v=vs.118).aspx

在控制器或方法上使用Authorize特性:

[Authorize]
public class TestController : Controller
{
    ......
}

接口含义

//请求Action前调用
public virtual void OnAuthorization(AuthorizationContext filterContext);

//是否允许该用户通过验证,返回布尔值,OnAuthorization会调用到该方法
protected virtual bool AuthorizeCore(HttpContextBase httpContext);

//身份验证未通过时执行,即AuthorizeCore方法返回false时调用
protected virtual void HandleUnauthorizedRequest(AuthorizationContext filterContext);

简单验证是否登录

方案一,通过Session判断用户是否已经登录,并重写HandleUnauthorizedRequest方法实现跳转

/// <summary>
/// 自定义验证授权特性
/// </summary>
public class CustomAuthorize : AuthorizeAttribute
{
    /// <summary>
    /// 处理未能授权的 HTTP 请求。
    /// 当验证没有通过的时候所执行方法
    /// </summary>
    /// <param name="filterContext"></param>
    protected override void HandleUnauthorizedRequest(AuthorizationContext filterContext)
    {
        //重定向到登录页
        filterContext.Result = new RedirectResult("/Login/SignInView");
    }

    /// <summary>
    /// 由OnAuthorization调用,是否允许该用户通过验证
    /// </summary>
    /// <param name="httpContext"></param>
    /// <returns></returns>
    protected override bool AuthorizeCore(HttpContextBase httpContext)
    {
        bool isLogin = HttpContext.Current.Session["CurUser"] != null;
        return isLogin;
    }
}

方案二,通过Session判断用户是否已经登录,重写OnAuthorization和AuthorizeCore

/// <summary>
/// 自定义验证授权特性
/// </summary>
public class CustomAuthorize : AuthorizeAttribute
{
    public override void OnAuthorization(AuthorizationContext filterContext)
    {
        base.OnAuthorization(filterContext);

        var statusResult = filterContext.Result as HttpStatusCodeResult;

        //通过AuthorizeCore验证,判断验证状态
        if (statusResult != null && statusResult.StatusCode == 401)
        {
            //重定向到登录页
            filterContext.Result = new RedirectResult("/Login/SignInView");
        }
    }

    /// <summary>
    /// 由OnAuthorization调用,是否允许该用户通过验证
    /// </summary>
    /// <param name="httpContext"></param>
    /// <returns></returns>
    protected override bool AuthorizeCore(HttpContextBase httpContext)
    {
        bool isLogin = HttpContext.Current.Session["CurUser"] != null;
        return isLogin;
    }
}

在控制器中的调用示例:

/// <summary>
/// 主页控制器
/// 添加在类前面的 [CustomAuthorize] 特性标签表示该特性对控制器内所有Action均有作用
/// 同样的,我们也可以将 [CustomAuthorize] 特性标签添加在Action方法的前面
/// </summary>
[CustomAuthorize]
public class HomeController : Controller
{
    /// <summary>
    /// 主页
    /// </summary>
    /// <returns></returns>
    public ActionResult Index()
    {
        return View();
    }

    /// <summary>
    /// 结合类前 [CustomAuthorize] 特性标签,如果有Action需要实现匿名访问,即忽略验证
    /// 则需要添加该特性标签 [AllowAnonymous]
    /// </summary>
    /// <returns></returns>
    [AllowAnonymous]
    public ActionResult AnyoneView()
    {
        return View();
    }
}

ActionFilterAttribute

有时候你想在调用action方法之前或者action方法之后处理一些逻辑,为了支持这个,ASP.NET MVC允许你创建action过滤器。

Action过滤器是自定义的Attributes,用来标记添加Action方法之前或者Action方法之后的行为到控制器类中的Action方法中。

一些可能用到Action过滤器的地方有:

  • 日志
  • 身份验证和授权 - 限制用户的访问
  • 输出缓存 - 保存一个Action的结果
  • 网络爬虫的过滤
  • 本地化
  • 动态Action - 将一个Action注入到控制器中

MSDN:

https://msdn.microsoft.com/zh-cn/library/system.web.mvc.actionfilterattribute(v=vs.118).aspx

接口含义

//1、执行Action前调用
public virtual void OnActionExecuting(ActionExecutingContext filterContext);

//2、执行Action后调用
public virtual void OnActionExecuted(ActionExecutedContext filterContext);

//3、在返回执行操作结果前
public virtual void OnResultExecuting(ResultExecutingContext filterContext);

//4、在执行操作结果后
public virtual void OnResultExecuted(ResultExecutedContext filterContext);

简单权限设计与实现

通过用户表的Roles字段,和自定义特性的角色设置,简单达到可配置化的权限管理,修改用户角色字段即可控制用户是否具有访问某Action的权限。

用户表结构如下:

列名数据类型说明
idint唯一标识
zh_namevarchar(20)中文名称
namevarchar(20)登录ID
pwdvarchar(20)登录密码
rolesvarchar(50)该用户角色,多个角色用逗号分隔

用户表对应的实体类:

/// <summary>
/// 用户实体
/// </summary>
public class User
{
    /// <summary>
    /// 唯一标识
    /// </summary>
    public int ID { get; set; }
    /// <summary>
    /// 中文昵称,此属性名称需要与数据库对应
    /// </summary>
    public string Zh_Name { get; set; }
    /// <summary>
    /// 登录用户名
    /// </summary>
    public string Name { get; set; }
    /// <summary>
    /// 登录密码
    /// </summary>
    public string Pwd { get; set; }
    /// <summary>
    /// 角色
    /// </summary>
    public string Roles { get; set; }
}

BLL层中保存上下文对象,即Session中对象

/// <summary>
/// 当前上下文对象
/// </summary>
public class ContextObjects
{
    /// <summary>
    /// 当前用户对象(ASP.NET版本设计),需要当前BLL层引入System.Web.dll
    /// 用户登录时设置该属性,对Session["CurUser"]操作的一个简单封装
    /// </summary>
    public static User CurrentUser
    {
        get
        {
            return HttpContext.Current.Session["CurUser"] as User;
        }
        set
        {
            HttpContext.Current.Session["CurUser"] = value;
        }
    }
}

自定义Action过滤器,通过重写Action调用前的方法OnActionExecuting实现动态权限的验证,示例如下:

public class CustomActionFilterAttribute : ActionFilterAttribute
{
    /// <summary>
    /// 角色名称
    /// 多个角色使用英文逗号(,)分隔
    /// </summary>
    public string Roles { get; set; }

    public override void OnActionExecuting(ActionExecutingContext filterContext)
    {
        base.OnActionExecuting(filterContext);

        //登录页面不做权限判断
        RouteValueDictionary routeDic = filterContext.RouteData.Values;

        if (routeDic["controller"].ToString().ToLower().Equals("login")
            && routeDic["action"].ToString().ToLower().Equals("signinview"))
        {
            return;
        }

        //当前未登录,重定向到登录页
        if (HttpContext.Current.Session["CurUser"] == null)
        {
            filterContext.Result = new RedirectResult("/Login/SignInView");
            return;
        }

        //是否具有访问权限,默认为false
        bool isAuthorize = false;

        //已登录用户,判断权限
        //ContextObjects.CurrentUser.Roles 当登录时从数据库读取
        if (!string.IsNullOrEmpty(ContextObjects.CurrentUser.Roles))
        {
            //特性中配置的角色
            string[] requireRoles = Roles.Split(',');

            //当前用户所具有的角色
            string[] userRoles = ContextObjects.CurrentUser.Roles.Split(',');

            //判断是否有匹配角色
            foreach (string rRole in requireRoles)
            {
                if (userRoles.Contains(rRole)) { isAuthorize = true; break; }
            }
        }

        if (!isAuthorize)
        {
            ContentResult content = new ContentResult();
            content.Content = "对不起,您无访问权限!";
            //content.Content = @"<script type='text/javascript'>alert('对不起,您无访问权限!');</script>";
            filterContext.Result = content;
        }
    }
}

Controller中的调用示例:

/// <summary>
/// 主页控制器
/// </summary>
[CustomAuthorize]
[CustomActionFilter(Roles = "admin")]
public class HomeController : Controller
{
    /// <summary>
    /// 主页
    /// </summary>
    /// <returns></returns>
    public ActionResult Index()
    {
        return View();
    }
}

FilterAttribute抽象类

Order属性

获取或者设置执行操作筛选器的顺序。

Order 属性采用必须为 0(默认值)或更大(有一处异常)的整数值。 如果省略 Order 属性,则将为筛选器赋予顺序值 -1,这表示未指定顺序。

范围中 Order 属性设置为 -1 的任何操作筛选器将按不确定的顺序执行,但在具有指定顺序的筛选器之前执行。

以AuthorizeAttribute验证授权进行示例,自定义两个特性:

public class CustomAuthorize1 : System.Web.Mvc.AuthorizeAttribute
{
    public override void OnAuthorization(AuthorizationContext filterContext)
    {
        base.OnAuthorization(filterContext);
        System.Diagnostics.Debug.WriteLine("CustomAuthorize1-OnAuthorization");
    }

    /// <summary>
    /// 为了测试Order,忽略验证
    /// </summary>
    /// <param name="httpContext"></param>
    /// <returns></returns>
    protected override bool AuthorizeCore(HttpContextBase httpContext)
    {
        return true;
    }
}

public class CustomAuthorize2 : System.Web.Mvc.AuthorizeAttribute
{
    public override void OnAuthorization(AuthorizationContext filterContext)
    {
        base.OnAuthorization(filterContext);
        System.Diagnostics.Debug.WriteLine("CustomAuthorize2-OnAuthorization");
    }

    /// <summary>
    /// 为了测试Order,忽略验证
    /// </summary>
    /// <param name="httpContext"></param>
    /// <returns></returns>
    protected override bool AuthorizeCore(HttpContextBase httpContext)
    {
        return true;
    }
}

public class CustomAuthorize3 : System.Web.Mvc.AuthorizeAttribute
{
    public override void OnAuthorization(AuthorizationContext filterContext)
    {
        base.OnAuthorization(filterContext);
        System.Diagnostics.Debug.WriteLine("CustomAuthorize3-OnAuthorization");
    }

    /// <summary>
    /// 为了测试Order,忽略验证
    /// </summary>
    /// <param name="httpContext"></param>
    /// <returns></returns>
    protected override bool AuthorizeCore(HttpContextBase httpContext)
    {
        return true;
    }
}

在Action中应用如下:

[CustomAuthorize2(Order = 2)]//最后执行
[CustomAuthorize1(Order = 1)]//在Order=2之前执行
[CustomAuthorize3]//Order 默认,在指定Order之前执行
public ActionResult Index()
{
    return View();
}

上面的示例中,AuthorizeCore均为true,即验证都通过。在输出窗口中打印的顺序和Order的顺序一致,输出窗口打印如下:

CustomAuthorize3-OnAuthorization
CustomAuthorize1-OnAuthorization
CustomAuthorize2-OnAuthorization
.NET跨平台
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ASP.NET - 使用数据源控件筛选数据
dodream的专栏
11-26 2856
       数据源控件提供多种数据服务,这样将高级功能添加到应用程序会变得更加容易。这包括根据指定的搜索条件筛选数据。筛选对于使用缓存数据尤其方便,因为您无需重新运行查询或调用读取数据的方法就可以提供搜索功能。      若要筛选数据,必须按下列方式配置数据源控件:·对于 SqlDataSource 或 AccessDataSource 控件,必须将 DataSourceMode
详解ASP.NET MVC筛选
01-02
ASP.NET MVC筛选是一种基于AOP(面向方面编程)的设计,我们将一些非业务的逻辑实现在相应的筛选中,然后以一种横切(Crosscutting)的方式应用到对应的Action方法。当Action方法执行前后,这些筛选会自动...
asp数据查询及数据筛选
weixin_30846599的博客
06-08 900
“排序” <% set rs=server.createobject("adodb.recordset") sql="select * from [session] order by id DESC" rs.open sql,conn,1,1 %> order by为数据排序,DESC降序,ASC升序 “筛选” <% set rs=serv...
MVC OnActionExecuting,OnResultExecuted 的用法
dieyanxiu7528的博客
02-08 663
OnActionExecuting在actionmethod调用前发生。OnActionExecuted在actionmethod调用后发生,但是在result执行前发生(在view呈现前)OnResultExecuting在result执行前发生(在view呈现前)OnResultExecuted在result执行后发生(在view呈现后) 转载于:https:/...
通过OnResultExecuted设置返回内容为JSONP
04-19 300
public class JsonpAttribute : ActionFilterAttribute { /// <summary> /// 在执行操作结果后更改返回结果 /// </summary> public override void OnResultExecu...
MVC中Action过滤(OnActionExecuting,OnActionExecuted,OnResultExecuting,OnResultExecued)
枫林街末
06-20 7319
MVC中Action过滤(OnActionExecuting,OnActionExecuted,OnResultExecuting,OnResultExecued)
ASP.NET Core MVC从入门到精通系列文章PDF版
06-30
24. **Filter筛选)**:筛选是一组可重用的逻辑,可以应用于控制或Action,实现如授权、异常处理、缓存等功能。 25. **缓存**:包括响应缓存和分布式缓存,用于提高应用程序性能,减少服务负载。 以上是...
asp.net实现MVC跨数据库多表联合动态条件查询功能示例
10-20
ASP.NET MVC框架中,开发跨数据库多表联合动态条件查询功能是一项常见的需求,尤其是在处理复杂的数据检索场景时。这个示例将引导我们了解如何在ASP.NET MVC实现这一功能。 首先,我们要明白MVC(Model-View-...
MVCDemo asp.net MVC
01-27
【标题】"MVCDemo asp.net MVC" 指的是一款基于Microsoft的ASP.NET MVC框架的演示项目。ASP.NET MVC(Model-View-Controller)是一个开源的Web应用程序开发框架,它结合了ASP.NET的优势,引入了MVC设计模式,为...
我要学ASP.NET MVC3.0
09-30
筛选(Filter)是在MVC中用于在动作执行前后执行某些任务的功能,它们可以在控制级别的动作之前或之后运行,也可以在全局范围内运行。MVC 3.0提供了多种类型的筛选,包括授权过滤(Authorization Filters)、...
asp.net MVC 教程
09-08
2. **ASP.NET MVC架构**:ASP.NET MVC框架基于HTTP协议,提供了路由系统来处理请求,通过Action筛选进行请求预处理和响应后处理,支持依赖注入(DI)和面向接口编程,提高了代码的可测试性。 3. **模型(Model)**...
如何在MVC 3 razor + asp.net中将texbox添加到webgrid的页脚中
04-04
ASP.NET MVC 3中,Razor视图引擎为我们提供了一种强大且简洁的方式来构建动态网页。WebGrid控件是ASP.NET MVC中的一个方便工具,它允许我们在网页上轻松地呈现表格数据。在这个场景中,我们需要了解如何在WebGrid...
ASP.NET MVC框架开发系列课程(5)
06-18
常见的过滤类型有授权过滤Authorization)、动作筛选(Action)、结果筛选(Result)和异常筛选(Exception)。它们分别在不同的阶段介入请求处理流程,提供了灵活的扩展点。 9. ** Areas**:当应用变...
MVC异常和跟踪日志记录的全局筛选
04-11
ASP.NET MVC框架中,全局筛选(Global Filters)是一种非常有用的功能,它们可以在应用程序的每个控制动作上自动应用特定的逻辑,如授权、异常处理和日志记录。本篇文章将详细探讨如何利用全局筛选实现MVC...
MVC4 API Filter 验证 AOP 实例
02-06
"API Filter"是ASP.NET MVC中的一个关键概念,它们类似于拦截,可以在动作方法执行前后插入自定义逻辑。API过滤主要分为四种类型:授权过滤Authorization Filters)、操作筛选(Action Filters)、结果...
.net core IResultFilter 的 OnResultExecuted和OnResultExecuting的区别
最新发布
qq_40934195的博客
01-15 652
OnResultExecuted不可以修改返回结果,相当于目标方法执行返回结果后执行。OnResultExecuting可以修改返回结果,相当于在方法目标执行完追加执行
[转]MVC Action Filter
weixin_34162228的博客
11-27 174
ASP.NET MVC Framework支持四种不同类型的FilterAuthorization filters – 实现IAuthorizationFilter接口的属性. Action filters – 实现IActionFilter接口的属性. Result filters – 实现IResultFilter接口的属性. Exception filters – 实现IEx...
ASP.NET Core MVC 筛选 过滤
KingCruel的专栏
04-16 795
ASP.NET Core 中的筛选 ASP.NET Core 取消和设置短路 ASP.NET MVC 4 自定义操作筛选【旧版本 - MVC3 和 MVC4】 了解操作筛选 (C#)【旧版本 - MVC1 和 MVC2】Filters in ASP.NET Core sample MVC 过滤 消息拦截 .NET Core OAuth IdentityServer4 Toke...
mvc4 操作筛选(C#)
路漫漫 修远兮
09-26 9409
本教程的目标是解释操作筛选。操作筛选一个属性,您可以将应用于控制操作 — — 或整个控制--,修改在其中执行操作的方式。 了解操作筛选 本教程的目标是解释操作筛选。操作筛选一个属性,您可以将应用于控制操作 — — 或整个控制--,修改在其中执行操作的方式。ASP.NET MVC 框架包括几个操作筛选: OutputCache — — 此操作筛选缓存为
ASP.NET MVC4 编程指南
ASP.NET MVC4 是微软推出的一个基于模型-视图-控制MVC)架构的Web应用程序框架,旨在帮助开发者快速构建高效、可维护、可扩展的Web应用程序。以下ASP.NET MVC4 的一些重要知识点: 1. ASP.NET MVC4 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值