Asp.Net 中使用HttpModule 做Session验证

最新推荐文章于 2020-04-10 09:55:46 发布
最新推荐文章于 2020-04-10 09:55:46 发布
阅读量2.9k 收藏
点赞数 1
分类专栏: Asp.net
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lan_liang/article/details/21028923
版权

session的检查可以考虑用一个http module挂在http pipeline上


过程如下:


1. 在Web.Config 配置:


 <httpModules>
      <!--Edas Authentication-->
      <add name="eDASAuthenticationModule" type="CRMWeb.eDAS.HttpModules.eDASAuthenticationModule"/>
      
    </httpModules>



2.添加httpmodule

代码:
把验证挂在了 PreRequestHandlerExecute 上 ,因为在这一步,session才被创建。



using System.Linq;
using System.Reflection;
using System.Web;
using CRMWeb.eDAS.Util;
using CRMWeb.eDAS.Entities;

namespace CRMWeb.eDAS.HttpModules
{
    public class eDASAuthenticationModule : IHttpModule
    {
        #region IHttpModule Members

        public void Dispose()
        {
            //clean-up code here.
        }

        public void Init(HttpApplication context)
        {
            context.PreRequestHandlerExecute += (sender, args) =>
                {
                    var c = sender as HttpApplication;
                    CheckLoginState(c);
                };
        }

        private void CheckLoginState(HttpApplication context)
        {
            if (context.Request.RawUrl.LastIndexOf('/') < 0)
                return;

            var requestPageName = GetPageNameFromUrl(context.Request.RawUrl);

            ALWAYS allow Access Branch Login Page
            if (eDASConstants.NavigatePage.BranchLoginUrl.Contains(requestPageName))
                return;

            var fields = typeof(eDASConstants.NavigatePage).GetFields
                (BindingFlags.Public | BindingFlags.Static);

            var allPages = fields.Select((t, i) => t.GetValue(t).ToString()).ToList();

            //1.indicate NOT Request branch login , check ticket
            if (EdasContext.TicketInfoSession.Current == null &&
                allPages.Any(p => p.Contains(requestPageName)))
            {
                EdasContext.ClearAll();
                context.Response.Redirect(eDASConstants.NavigatePage.BranchLoginUrl);
            }

            //2.indicate have ticket , if want to go sales person page , let him go

            if (eDASConstants.NavigatePage.SalesPersonLoginUrl.Contains(requestPageName))
                return;
            //if do not want to go sales person login , check sales person session
            if (EdasContext.SalesPersonSession.Current == null &&
                allPages.Any(p => p.Contains(requestPageName)))
            {
                EdasContext.ClearCurrentCustomerSession();
                context.Response.Redirect(eDASConstants.NavigatePage.SalesPersonLoginUrl);
            }

            //indicate sales person login session & ticket both have value
            //if want to go customer queue , let him go
            if (eDASConstants.NavigatePage.CustomerQueueInfoUrl.Contains(requestPageName))
                return;

            //3.sales person & ticket NOT null,if still want to go anywhere NOT queue page,check session if not go back
            if (EdasContext.CustomerQueueSession.Current == null &&
                !eDASConstants.NavigatePage.CustomerQueueInfoUrl.Contains(requestPageName) &&
                allPages.Any(p => p.Contains(requestPageName)))
            {
                EdasContext.ClearCurrentCustomerSession();
                context.Response.Redirect(eDASConstants.NavigatePage.CustomerQueueInfoUrl);
            }
        }

        private string GetPageNameFromUrl(string url)
        {
            var indexOfSlash = url.LastIndexOf('/');
            var nameWithQuery = url.Substring(indexOfSlash, url.Length - indexOfSlash);
            var indexOfParam = url.IndexOf('?');
            return url.Contains("?") ? url.Substring(0, indexOfParam) : nameWithQuery;
        }
        #endregion

    }
}


_iorilan
关注
专栏目录
VB.net 之HttpModule用户身份验证
u012743824的博客
04-12 516
HttpModule生命周期图(转自网络) HttpApplication的19个标准事件如下: 事件名称 说明 BeginRequest Asp.net处理的第一个事件,表示处理的开始 AuthenticateRequest 验证请求,一般用来取得请求用户的信息 PostAuthenticateRequest...
HttpModule检验Session
01-14
使用实现HttpModule接口,检查Session、cookie值是否过期,实现项目的身份验证
HttpModule真的不能读写Session吗?
陈希章@中国
01-06 762
因为项目遇到这样一个问题,我们希望编写一个HttpModule来对用户的请求进行一些额外的处理。期间,我们希望能读取到Session的一些数据。HttpModule我们都不陌生,但这次在实际用的时候还是遇到一点小问题。 为了说明问题,我用下面一个简单的例子来演示using System; using System.Collections.Generic; using System.Linq; using System.Web; namespace TestHttpModuleSession
步步为营-81-HttpModule(再谈Session)
weixin_30508309的博客
06-20 121
说明:session用于记录数据信息并存放在服务器内存,但是存在一些问题.例如当使用服务器集群是会出现session丢失等情况.虽然微软提供了一些解决方案(Session进程外存储,或者存到数据库),但是效果不尽人意.常用的还是Memcache或者Redis等分布式缓存 在步步为营-76-用户登录(Session+Cookie)的1.4通过封装CheckSession来实现身份校验(在请求...
ASP.NET (HttpModule,HttpHandler)
weixin_33794672的博客
06-15 110
asp.net 事件模型机制 ----------------------- 一 客户的请求页面由aspnet_isapi.dll这个动态连接库来处理,把请求的aspx文件发送给CLR进行编译执行,然后把Html流返回给浏览器 -----------------asp.net 事件模型机制 ----------------------- 一 客户的请求页面由aspnet_isa...
几种判断asp.netsession过期方法的比较
10-27
这种方法的优点是效率高,只需要一次配置,便可在整个应用程序使用。其工作原理是在页面处理之前就进行session状态检查,如果session已经过期,则可以直接返回提示信息或执行重定向,无需加载页面。但是,这种方法...
asp.net利用HttpModule实现防sql注入
10-29
ASP.NETHTTP模块(HttpModule)是一种强大的工具,用于在应用程序处理请求的生命周期的不同阶段插入自定义逻辑。在本文,我们将探讨如何使用HttpModule来防御SQL注入攻击,这是一种常见的网络安全威胁,它允许...
ASP.NET源码——Asp.net防盗链实例源码.zip
10-10
1. **检查Referer**:在IIS服务器或ASP.NETHttpModule,可以捕获每个HTTP请求,并检查其Referer字段。如果Referer为空或者来自非预期的站点,那么可以拒绝该请求。 2. **自定义HttpModule**:创建一个自定义的...
HttpModule 介绍
爱.NET
12-11 141
导读:      引言   Http 请求处理流程和 Http Handler 介绍这两篇文章里,我们首先了解了Http请求在服务器端的处理流程,随后我们知道Http请求最终会由实现了IHttpHandler接口的类进行处理(应该记得Page类实现了IHttpHandler)。从 Http 请求处理流程一文的最后的一幅图可以看到,在Http请求由IHttpHandler处理之前,它需要通过一系列...
利用HttpModule开发asp.net页面、ashx等访问时session失效的统一处理入口
weixin_34375233的博客
01-20 160
web程序时,当使用session时总会出现失效而报“未将对象引用设置到对象的实例”的http 500错误,本人比较懒,不想每个地方都用try catch处理,就找到个用httpModule统一处理的方法: 1、新建一个_httpmodule的类,继承IHttpModule接口,为了能在类里面读取session,添加using System.Web.SessionState;,并继承IReadO...
HTTPModuleSession_Start
净心编程
02-01 2233
HTTPModule不能直接写Session_Start,这是为什么?有时看书能看到Session_Start不能在HTTPModule使用,不清楚为什么。 今天找到一个答案:http://forums.asp.net/t/1156462.aspx Session_Start will actually be mapped to the Start event of the
了解IHttpModule接口事件执行顺便 获取Session
weixin_34383618的博客
05-28 158
最近公司一个项目让人SQL注入了~为了临时先解决这个问题,使攻击者不再危害数据库。 初步决定先采用IHttpModule过滤一道请求。 publicclassHttpModule:IHttpModule{publicHttpModule(){////TODO:...
asp.net用户登入验证
hyhyct的专栏
05-30 2427
asp.net用户登入验证引言前一段时间有两个朋友问我,为什么在HttpModule无法获得到Session,因为他们希望 asp.net用户登入验证 引言 前一段时间有两个朋友问我,为什么在HttpModule无法获得到Session值,因为他们希望自定义一个HttpModule,然后在其获取Session来进行用户验证。我奇怪为什么不使用.Net Framework已经提供
(asp.net session总为null得到解决)了解IHttpModule接口事件执行顺便 获取Session 和SQL...
weixin_30588907的博客
02-15 174
了解IHttpModule接口事件执行顺便 获取SessionSQL注入了~为了临时先解决这个问题,使攻击者不再危害数据库。初步决定先采用IHttpModule过滤一道请求。public class HttpModule:IHttpModule{ public HttpModule() { //...
[asp.net]自定义HttpModule实现用户登陆状态检测
XYZ
06-26 658
HttpModule可以实现很多有用的功能,例如如果您想要给web站点的每个页面上都添加文本(如日期、时间等),而不希望修改应用程序的每个页面,那么,它就是您需要的。本文介绍的是通过HttpModule实现用户的登陆状态检查。1.编写自定义的HttpModuleusing System; using System.Collections.Generic; using System.Linq; u...
ASP.NET自定义IHttpModule类让Session不为NULL
主宰
04-10 340
public class HttpModule:IHttpModule { public HttpModule() { // // TODO: 在此处添加构造函数逻辑 // } IHttpModule 成员#region IHttpModule 成员 ...
asp.net 利用IHttpModule和IRequiresSessionState控制入口登录开发错误解决办法
分享经验,共同进步.
09-21 3135
1、VS项目添加FilterModule.cs来控制从登陆页面进入系统,该类代码如下:using System; using System.Collections.Generic; using System.Linq; using System.Web; using System.Web.SessionState; namespace VisualStudio { public c
一点一点学ASP.NET之示例——HttpModule 示例
weixin_30487317的博客
08-11 185
HttpModule 示例 —— 一点一点学ASP.NET 文野:2006年8月11日星期五 概述 从前面的章节我们知道HTTP Handler提供了类似于ISAPI Server Extention的功能,而HttpModule实现了类似于ISAPI Filter的功能。使用自定义的Handler会覆盖系统默认的Handler,而Module是可以多个同时存在的。 ...
ASP.NETHttpModule实现SQL注入防护的详解
ASP.NET利用HttpModule实现防SQL注入是一种常见的Web开发策略,旨在保护应用程序免受恶意SQL查询的攻击。本文将深入讲解如何通过自定义HttpModule来增强安全性,并关注于处理GET和POST请求的参数过滤。 首先,...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值