ASP.NET MVC授权登录过滤器OnAuthorization过滤器AuthorizeAttribute使用

最新推荐文章于 2023-12-26 08:16:10 发布
最新推荐文章于 2023-12-26 08:16:10 发布
阅读量2.8k 收藏 5
点赞数
分类专栏: ASP.NET MVC 文章标签: c# 过滤器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011511086/article/details/105663232
版权 
using System;
using System.Collections.Generic;
using System.Configuration;
using System.Linq;
using System.Web;
using System.Web.Mvc;
using Autofac;
using WuZiFenGongSiInfomation.Common;
using WuZiFenGongSiInfomation.IBll;
using WuZiFenGongSiInfomation.Models.Veiw;

namespace WuZiFenGongSiInfomation.Models
{
    /// <summary>
    /// 登录验证,权限验证,action过滤
    /// </summary>
    public class LoginFilter:  AuthorizeAttribute
    {
        public override void OnAuthorization(AuthorizationContext filterContext) {
            //判断是否跳过授权过滤器
            if (filterContext.ActionDescriptor.IsDefined(typeof(AllowAnonymousAttribute), true)
                || filterContext.ActionDescriptor.ControllerDescriptor.IsDefined(typeof(AllowAnonymousAttribute), true))
            {
                return;
            }

            var session = filterContext.HttpContext.Session;
            bool isAjax = filterContext.HttpContext.Request.IsAjaxRequest();

            bool IsAuthenticated = filterContext.HttpContext.User.Identity.IsAuthenticated;
            if (!IsAuthenticated)
            {
                if (isAjax)
                {
                    filterContext.HttpContext.Response.StatusCode = 801;
                    filterContext.Result = new EmptyResult();
                    filterContext.HttpContext.Response.ContentType = "application/json;charset=UTF-8";
                    filterContext.HttpContext.Response.Write("{\"Code\":500,\"Msg\":\"登录失效,请重新登录\"}");
                    filterContext.HttpContext.Response.End();
                }
                else
                {
                    filterContext.Result = new RedirectResult("/user/login");
                }
                return;
            }

            string userId = filterContext.HttpContext.User.Identity.Name;
            UserView loginUser = MemoryCacheProvider.GetOrAddCacheItem<UserView>(userId, () =>
            {
                IAnUserBll anUserBll = DependencyResolverHelpter.container.Resolve<IAnUserBll>();
                var model = anUserBll.GetUserById(userId);

                //如果是超级管理员,则不继续验证     2019-10-31 11:30:01 添加 
                string superAdmin2 = CommonData.SuperAdmin;
                if (model != null)
                {
                    string currentAccount2 = model.Account;
                    if (currentAccount2.Equals(superAdmin2))
                    {
                        model.Functions?.Clear();
                        model.Meuns = CommonData.MenusList;
                        model.Functions = CommonData.MenusList.Select(x => x.Id).ToList();
                    }
                }

                return model;
            }, null, DateTime.UtcNow.AddSeconds(7200));

            if (loginUser == null)
            {
                MemoryCacheProvider.Remove(userId);
                System.Web.Security.FormsAuthentication.SignOut();
                filterContext.Result = new RedirectResult("/user/Login");
                return;
            }

            //请求的地址
            string url = filterContext.HttpContext.Request.RawUrl;

            //如果是超级管理员,则不继续验证      2019-10-31 10:25:52 添加 
            string superAdmin = CommonData.SuperAdmin;
            string currentAccount = loginUser.Account;
            if (currentAccount.Equals(superAdmin))
            {
                return;
            }

            //需要登录,但不验证权限
            if (Roles.Equals("pass"))
            {
                return;
            }

            //验证用户角色是否被禁用
            IAnRoleBll anRoleBll = DependencyResolverHelpter.container.Resolve<IAnRoleBll>();
            AnRole role = anRoleBll.Get(loginUser.RoleId);
            if (role != null && role.Status == 0)
            {
                filterContext.Result = new EmptyResult();
                filterContext.HttpContext.Response.Write("<h3>你的角色被禁用</h3>");
                filterContext.HttpContext.Response.StatusCode = 401;            
                filterContext.HttpContext.Response.End();
                return;
            }

            //验证用户权限
            bool access = loginUser.Functions.Contains(Roles);
            if (!access)
            {
                if (isAjax)
                {                   
                    filterContext.HttpContext.Response.ContentType = "application/json;charset=UTF-8";
                    filterContext.HttpContext.Response.Write("{\"Code\":500,\"Msg\":\"你没有此操作权限\"}");
                }
                else
                {
                    filterContext.HttpContext.Response.Write("<h3>你没有此操作权限</h3>");
                }
                filterContext.HttpContext.Response.StatusCode = 401;
                //阻止执行后续的action
                filterContext.Result = new EmptyResult();
                filterContext.HttpContext.Response.End();
            }
        }

    }
}

 webconfig配置文件设置FormsAuthentication节点

 <system.web> 
    <authentication mode="Forms">
      <!--分钟-->
      <forms name=".UserInfo"  timeout="120" slidingExpiration="true"   path="/"  />    
    </authentication>
  </system.web>

 

登录action参考

public async Task<ActionResult> LoginDo(LoginInput input)
{     
	Result<UserView> result = await anUserBll.LoginDoAsync(input);
	if (result.Code == 200)
	{
	    //登录成功写入cookie认证
		string loginAuthTxt = result.Data.Id;
		FormsAuthentication.SetAuthCookie(loginAuthTxt, true);
	}
	return Json(result);
}

 

 

使用过滤器在调用action之前,验证权限、登录没有,Roles = "140040070"是权限值,表示用户的权限值集合中是否具有这个权限值,有就表示可以访问此action

//确认页面
[LoginFilter(Roles = "140040070")]
public async Task<ActionResult> ConfirmView(string id)
{ 
	return View();
}

前端页面$.ajax状态码重写弹出验证消息

  <script type="text/javascript">
        (function ($) {
            var _ajax = $.ajax;
            $.ajax = function (opt) {
                //扩展增强处理
                var _opt = $.extend(opt, {
                    statusCode: { 
                        401: function () {
                            console.log('您没有权限进行此项操作');
                            alert("您没有权限进行此项操作");
                            //window.location.reload();
                        },
                        801: function () {
                            console.log('登录失效,请重新登录');
                            alert("登录失效,请重新登录");
                        }
                    }
                });
                _ajax(_opt);
            };
        })(jQuery);
    </script>

 

 

王焜棟琦
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Asp.netmvc 实现超时弹窗后跳转功能
01-20
为了实现保持登录状态,可以用cookie来解决这一问题 假设过期时间为30分钟,校验发生在服务器,借助过滤器,可以这样写 public class PowerFilter : AuthorizeAttribute { public override void OnAuthorization(AuthorizationContext filterContext) { var cookie = HttpContext.Current.Request.Cookies[loginInfo]; if(null == cookie) {
基于FormsAuthentication的用户、角色身份认证
weixin_30522183的博客
11-15 593
一般情况下,在我们做访问权限管理的时候,会把用户的正确登录后的基本信息保存在Session中,以后用户每次请求页面或接口数据的时候,拿到 Session中存储的用户基本信息,查看比较他有没有登录和能否访问当前页面。 Session的原理,也就是在服务器端生成一个SessionID对应了存储的用户数据,而SessionID存储在Cookie中,客户端以后每次请求都会带...
C# MVC 过滤器防止SQL注入
09-15
C# MVC 过滤器防止SQL注入
Asp.net mvc 权限过滤和单点登录(禁止重复登录
01-02
1.权限控制使用controller和 action来实现,权限方式有很多种,最近开发项目使用控制控制器方式实现代码如下 /// /// 用户权限控制 /// public class UserAuthorize : AuthorizeAttribute { /// /// 授权失败时呈现的视图 /// public string AuthorizationFailView { get; set; } /// /// 请求授权时执行 ///
自定义Authorize
SoftEnger
11-27 741
自定义Authorize: 用于判断网站的权限,查看当前用户有无权限访问。 创建一个类继承于AuthorizeAttribute public class ZDYAuthorizeAttribute : AuthorizeAttribute 想要实现自定义Authorize,得重写一下虚方法:public virtual void OnAuthorization(Authorizati
mvc中OnActionExecuting和 OnAuthorization
在学习的路上……
11-12 7754
执行顺序,OnAuthorizationAuthorizeAttribute特性种, 先执行OnAuthorization,然后执行AuthorizeCore函数; OnActionExecuting方法在ActionFilterAttribute特性中, 同时存在OnAuthorization和OnActionExecuting,在授权检查完毕之后执行OnActionExecutin
ASP.NETASP.NET中权限验证使用OnAuthorization实现
weixin_34040079的博客
12-24 3850
在项目开发中,通常我们都会涉及到用户登录才能访问的网页,比如购物网站,我们浏览商品,添加购物车(以前开发的时候在这里就需要登录用户,但是现在有了缓存的实现,这里可以将商品加入缓存,等到结账的时候再登录),选择结账的时候需要登录,那么这时候我们需要跳转到登录页面登录登录之后还可以回到记录下来的原始的页面,那么这之后我们有好几种方法可以实现这种效果,下面笔者举例两种: 第一种:登录模块不管怎么样都...
ASP.NET MVC的5种AuthorizationFilter
最新发布
chengxuyuanlaow的博客
12-26 492
为了生成该Hidden元素的值,HtmlHelper会根据现有的AntiForgeryData对象(从当前请求获取的或者新创建的)创建一个新的AntiForgeryData对象,两个对象具有相同的CreationDate和Value属性,而当前用户名和指定的Salt参数将会设置给新AntiForgeryData对象的UserName和Salt属性。这个例子充分说明了CSRF是一种比较隐蔽并且具有很大危害型的网络攻击,促成攻击的原因在于服务器在针对某个请求执行某个操作的时候并没有验证请求的真正来源。
ASP.NET MVC4 自定义权限(角色)验证
shuai_wy的专栏
09-30 6975
ASP.NET MVC4 自定义权限(角色)验证。 自定义验证方法,自定义验证失败处理方法。 异步请求验证失败,返回JSON数据。 同步请求验证失败,跳转登录页。
ASP.NET MVC5(五):身份验证、授权
weixin_30237719的博客
06-24 670
使用Authorize特性进行身份验证   通常情况下,应用程序都是要求用户登录系统之后才能访问某些特定的部分。在ASP.NET MVC中,可以通过使用Authorize特性来实现,甚至可以对整个应用程序全局使用Authorize特性。 Authorize的用法 本节以一个添加产品的示例来说明Authorize使用方法。首先,创建Product类、添加属性(如下所示)并创建ProductsC...
AuthorizeAttribute.Extended:这提供了一个库,将ASP.NET MVC AuthorizeAttribute类上的403错误与401错误分开
05-19
AuthorizeAttribute Extended基于身份验证和/或授权结果将403(禁止)错误代码与401(未授权)错误代码分开,而ASP.NETAuthorizeAttribute类仅返回401(未授权)错误代码。 包装状态 AuthorizeAttribute扩展 入门 ...
MVC权限控制小例子(重写AuthorizeAttribute
03-12
通过重写AuthorizeAttribute实现对不同控制器的访问权限,比较简单的一个,你也可以加上自己的一些内容
ASP.NET MVC使用AllowAnonymous特性跳过授权验证
热门推荐
pan_junbiao的博客
11-27 2万+
AllowAnonymous表示一个特性,该特性用于标记在授权期间要跳过 System.Web.Mvc.AuthorizeAttribute 的控制器和操作。 1、在Authorize过滤器类中添加如下代码 //判断是否跳过授权过滤器 if (filterContext.ActionDescriptor.IsDefined(typeof(AllowAnonymousAttribute), t...
asp.net mvc实现用户登录验证
u012846041的专栏
09-04 1万+
Asp.net中实现登录验证可以设置用户登录验证页面为默认的路由处理路径,访问其它页面时候,在页面控制器中增加    CheckAuthority属性,要求进行登录认证后才能访问相关控制器,CheckAuthority属性定义代码如下示例: //==============属性继承自AuthorizeAttribute,需重写OnAuthorization方法=========== pu...
Mvc示例之三——用Filter进行简单身份验证
码海拾贝
09-23 2816
Filter小解释 FiterAttribute是一个特殊的CS属性,是一个抽象类。他的父类是Attribute。而在Mvc中最常用的是ActionFilterAttribute.他是FiterAttribute的子类。同时,ActionFilterAttribute又继承了IActionFilter, IResultFilter两个接口。从这两个接口中,ActionFilterAttribut
认识ASP.NET MVC的5种AuthorizationFilter
ma_nong33的博客
06-14 2016
为了生成该Hidden元素的值,HtmlHelper会根据现有的AntiForgeryData对象(从当前请求获取的或者新创建的)创建一个新的AntiForgeryData对象,两个对象具有相同的CreationDate和Value属性,而当前用户名和指定的Salt参数将会设置给新AntiForgeryData对象的UserName和Salt属性。这个例子充分说明了CSRF是一种比较隐蔽并且具有很大危害型的网络攻击,促成攻击的原因在于服务器在针对某个请求执行某个操作的时候并没有验证请求的真正来源。
ASP.NET Core 中如何通过 AuthorizeAttribute 做自定义验证?
dotNET跨平台
10-09 715
咨询区 jltrem:我想在 ASP.NET Core 中用 authorization 特性实现一个自定义验证,在之前的版本中,我可以用系统提供的 bool AuthorizeCore(...
Asp.Net Core AuthorizeAttributeAuthorizeFilter 跟进及源码解读
Jlion 技术博客
03-25 2786
一、前言 IdentityServer4已经分享了一些应用实战的文章,从架构到授权中心的落地应用,也伴随着对IdentityServer4掌握了一些使用规则,但是很多原理性东西还是一知半解,故我这里持续性来带大家一起来解读它的相关源代码,本文先来看看为什么Controller或者Action中添加Authorize或者全局中添加AuthorizeFilter过滤器就可以实现该资源受到保护,需要通过...
C#时间类型 DateTime? 赋空值
u011511086的专栏
01-12 1万+
C#时间类型 DateTime? 赋空值  new Nullable()  DateTime? date12 = reader["FAHUODATE"] is DBNull ? new Nullable() : Convert.ToDateTime(reader["FAHUODATE"]);
写一个MVCAuthorization过滤器 实现登录验证 的案例
06-11
好的,下面我给你写一个实现登录验证的MVCAuthorization过滤器的案例。 首先,我们需要创建一个自定义的Authorization过滤器类,代码如下: ```csharp using System.Web.Mvc; namespace YourNamespace { public class LoginAuthorization : AuthorizeAttribute { public override void OnAuthorization(AuthorizationContext filterContext) { if (filterContext.HttpContext.Session["UserID"] == null) // 判断用户是否登录 { filterContext.Result = new RedirectResult("~/Account/Login"); // 如果用户未登录,则跳转到登录页面 } } } } ``` 在上面的代码中,我们继承了AuthorizeAttribute类,并重写了其中的OnAuthorization方法。在这个方法中,我们判断了用户是否已经登录,如果未登录,则跳转到登录页面。 接下来,我们需要在需要登录验证的控制器或者方法上加上我们刚才创建的Authorization过滤器,代码如下: ```csharp using System.Web.Mvc; namespace YourNamespace.Controllers { [LoginAuthorization] // 加上我们创建的Authorization过滤器 public class HomeController : Controller { public ActionResult Index() { return View(); } } } ``` 在上面的代码中,我们在HomeController控制器上加上了我们创建的Authorization过滤器,表示这个控制器中的所有方法都需要登录验证。 最后,我们需要在登录页面中验证用户的用户名和密码,并将登录成功的用户ID存储到Session中,代码如下: ```csharp using System.Web.Mvc; using YourNamespace.Models; namespace YourNamespace.Controllers { public class AccountController : Controller { [HttpGet] public ActionResult Login() { return View(); } [HttpPost] public ActionResult Login(LoginViewModel model) { if (ModelState.IsValid) { // 在这里验证用户的用户名和密码是否正确 // 如果正确,则将用户ID存储到Session中 Session["UserID"] = 123; return RedirectToAction("Index", "Home"); } else { return View(model); } } } } ``` 在上面的代码中,我们首先创建了一个LoginViewModel类,用于存储用户输入的用户名和密码。然后,在Login方法中,我们首先判断用户输入的数据是否合法,如果合法,则验证用户名和密码是否正确,并将用户ID存储到Session中,最后跳转到首页。如果用户输入的数据不合法,则返回登录页面,并显示相应的错误信息。 好了,现在我们已经实现了一个简单的MVCAuthorization过滤器,用于实现登录验证的功能。当用户访问需要登录验证的页面时,如果未登录,则会自动跳转到登录页面,登录成功后再跳转回原来的页面。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

王焜棟琦

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值