初识ASP.NET MVC窗体验证与权限过滤---3.自定义过滤器验证Session超时

        为了防止用户在seesion过期之后进行操作,可以添加自定义过滤器验证session是否过期,为了便于测试将过期时间设置为1分钟,在Filters文件夹下添加一个自定义过滤器。
namespace AuthStudy.Filters
{
    public class CustomFilterAttribute :ActionFilterAttribute
    {
        public override void OnActionExecuting(ActionExecutingContext filterContext)
        {
            if (filterContext.HttpContext.Session["username"] == null)
            {
                FormsAuthentication.SignOut();
                filterContext.HttpContext.Response.Redirect("/Home/Test", true);
            }
            filterContext.HttpContext.Response.Write("开始时间:" + DateTime.Now.ToString() + "<br/>");
        }
    }
}
          当session中的用户名消失,调用FormsAuthentication.SignOut()方法清除客户端的鉴权cookies,然后跳转到一个新页面。然后对action添加这个过滤器即可:
    [CustomFilter]
    public class MainController : Controller
    {
        [Authorize(Roles = "Manager")]      
        public ActionResult Index()
        {
            return View();
        }
        public ActionResult LogOff()
        {
            FormsAuthentication.SignOut();
            return RedirectToAction("Index", "Main");
        }
    }
       经过测试,当超过一分钟后刷新页面,跳转到了指定的提示页面上。当我们试图进入需要授权的 /main/index 页面时,发现页面跳转到了登陆页也就是/Home/index上,浏览器显示的url为http://localhost:38565/Home/Index?ReturnUrl=%2fmain%2findex,说明这个页面是从/main/index跳转而来,证实其鉴权cookies已经被清除。
       通过上述手段,可以实现session和窗体身份的双重检测,避免seesion过期而身份依然存在可以访问的问题。



  
展开阅读全文

没有更多推荐了,返回首页