mvc过滤器学习(1)

最新推荐文章于 2023-08-07 18:40:00 发布
最新推荐文章于 2023-08-07 18:40:00 发布
阅读量86 收藏
点赞数
文章标签: 测试
原文链接:http://www.cnblogs.com/cheesebar/p/6004064.html
版权

mvc 过滤器结构图

AuthorizeAttribute

AuthorizeAttribute是IAuthorizationFilter的默认实现,添加了Authorize特性的Action将对用户进行验证授权,只有通过了用户才可以进入这个Action.

AuthorizeAttribute提供了四种操作方法,打开.net reflector查看源码

1.在进入Action之前首先执行OnAuthorization

        public virtual void OnAuthorization(AuthorizationContext filterContext)
        {
            if (filterContext == null)
            {
                throw new ArgumentNullException("filterContext");
            }
            if (OutputCacheAttribute.IsChildActionCacheActive(filterContext))
            {
                throw new InvalidOperationException(MvcResources.AuthorizeAttribute_CannotUseWithinChildActionCache);
            }
            if (!filterContext.ActionDescriptor.IsDefined(typeof(AllowAnonymousAttribute), true) && !filterContext.ActionDescriptor.ControllerDescriptor.IsDefined(typeof(AllowAnonymousAttribute), true))
            {
                if (this.AuthorizeCore(filterContext.HttpContext))
                {
                    HttpCachePolicyBase cache = filterContext.HttpContext.Response.Cache;
                    cache.SetProxyMaxAge(new TimeSpan(0L));
                    cache.AddValidationCallback(new HttpCacheValidateHandler(this.CacheValidateHandler), null);
                }
                else
                {
                    this.HandleUnauthorizedRequest(filterContext);
                }
            }
        }

2.在OnAuthorization内部会调用AuthorizeCore

 protected virtual bool AuthorizeCore(HttpContextBase httpContext)
        {
            if (httpContext == null)
            {
                throw new ArgumentNullException("httpContext");
            }
            IPrincipal user = httpContext.User;
            if (!user.Identity.IsAuthenticated)
            {
                return false;
            }
            if ((this._usersSplit.Length > 0) && !this._usersSplit.Contains<string>(user.Identity.Name, StringComparer.OrdinalIgnoreCase))
            {
                return false;
            }
            if ((this._rolesSplit.Length > 0) && !this._rolesSplit.Any<string>(new Func<string, bool>(user.IsInRole)))
            {
                return false;
            }
            return true;
        }

默认实现,不仅判断是否授权,还可以具体到某一个角色,某一个用户,但这些角色是哪里来的呢?

(1)使用membership框架

(2)使用微软最新的Identity框架

(3)自定义一个类继承RoleProvider,并设置配置文件

    <roleManager>
      <providers>
        <clear/>
        <add name="MyRoleProvider" type="Filter.Controllers.MyRoleProvider" />
      </providers>
    </roleManager>

 

3.AuthorizeCore返回一个布尔值,表示是否通过授权,未通过将执行HandUnauthorizedRequest返回配置文件forms-loginUrl指向的页面

        protected virtual void HandleUnauthorizedRequest(AuthorizationContext filterContext)
        {
            filterContext.Result = new HttpUnauthorizedResult();
        }

4.OnAuthorization在缓存模块请求授权时调用

        protected virtual HttpValidationStatus OnCacheAuthorization(HttpContextBase httpContext)
        {
            if (httpContext == null)
            {
                throw new ArgumentNullException("httpContext");
            }
            if (!this.AuthorizeCore(httpContext))
            {
                return HttpValidationStatus.IgnoreThisRequest;
            }
            return HttpValidationStatus.Valid;
        }

ActionFilterAttribute

ActionFilterAttribute在mvc中没有默认实现,需要自己定义

1.OnActionExecuting在OnAuthorization之后(实际上ActionFilter中的方法都在其之后)进入Action之前执行

2.OnActionExecuted在Action中所有语句都执行完之后执行

3.OnResultExecuting在执行操作结果(返回继承自ActionResult的所有类型)前调用

4.OnResultExecuted在执行操作结果(返回继承自ActionResult的所有类型)后调用

 

 public class MyActionFilterAttribute : ActionFilterAttribute
    {
        /// <summary>
        /// 在执行操作方法之前由 ASP.NET MVC 框架调用。
        /// </summary>
        /// <param name="filterContext"></param>
        public override void OnActionExecuting(ActionExecutingContext filterContext)
        {
       
        }
        /// <summary>
        /// 在执行操作方法后由 ASP.NET MVC 框架调用。
        /// </summary>
        /// <param name="filterContext"></param>
        public override void OnActionExecuted(ActionExecutedContext filterContext)
        {

        }
        /// <summary>
        /// 在执行操作结果之前由 ASP.NET MVC 框架调用。
        /// </summary>
        /// <param name="filterContext"></param>
        public override void OnResultExecuting(ResultExecutingContext filterContext)
        {
     
        }
        /// <summary>
        /// 在执行操作结果后由 ASP.NET MVC 框架调用。
        /// </summary>
        /// <param name="filterContext"></param>
        public override void OnResultExecuted(ResultExecutedContext filterContext)
        {

        }

    }

HandleErrorAttribute

HandleErrorAttribute是IException的默认实现,在调式的时候,出现异常就会蹦出那黄色的页面

我们也可以自定义异常处理

需要注意的是ExceptionHandled表示这个异常是否已经处理(可能程序中有多个异常过滤器)

    public class MyExceptionAttribute : HandleErrorAttribute
    {
        public override void OnException(ExceptionContext filterContext)
        {
            if (!filterContext.ExceptionHandled)//避免重复处理
            {
                //获取抛出异常的对象  
                Exception ex = filterContext.Exception;
                //写入异常日志

                //已处理 
                filterContext.ExceptionHandled = false;
            }
        }
    }

IAuthenticationFilter

IAuthenticationFilter是认证过滤器接口,他提供了两个操作方法

1.OnAuthentication在所有过滤器执行前执行(包括授权过滤器)

2.OnAuthenticationChallenge在OnResultExecuting前执行

小结

过滤器是把附加逻辑注入到MVC框架的请求处理.它们提供一种简单而雅致的方式,实现了交叉关注,所谓交叉关注,是指可以用于整个应用程序,二用不适合放置在某个局部位置的功能,否则就会打破关注分离模式.典型的交叉关注例子就是登陆,授权以及缓存等.(摘自精通asp.net mvc5)

 

转载于:https://www.cnblogs.com/cheesebar/p/6004064.html

[C#].Net Core下全局自定义身份过滤器使用AllowAnonymous属性
weixin_34050389的博客
11-16 1086
假设一种情况:项目中需要做认证和权限控制,而且需要权限才能访问的控制器要远多于可以匿名访问的(类似AO系统那样,登陆了才能用)。 那在每个控制器上加一个[Authorize]是能解决问题,反正正我是觉得麻烦。 而且Core自带的权限认证机制不满足于复杂的身份权限认证,打算像在Framework中一样注册一个全局过滤器,然后用[AllowAnonymous]来放行可以匿名的控制器或者方法...
ASP.NET MVC学习系列——MVC过滤器FilterAttribute
weixin_30618985的博客
09-13 407
1、概括   MVC提供的几种过滤器其实也是一种特性(Attribute),MVC支持的过滤器类型有四种,分别是:AuthorizationFilter(授权),ActionFilter(行为),ResultFilter(结果)和ExceptionFilter(异常),他们分别对应了四个筛选器接口IAuthorizationFilter、IActionFilter、IResultFilter和I...
.net core自定义授权认证 含3.0及以上版本AllowAnonymous失效解决办法
qq_41974094的博客
10-18 1013
新建一个类RequestAuthorizeAttribute 继承IAuthorizationFilter public class RequestAuthorizeAttribute : IAuthorizationFilter{ public void OnAuthorization(AuthorizationFilterContext context){ var descriptor = (Microsoft.AspNetCore.Mvc.Controllers.Controlle
6.权限管理
嗑盐工作室
10-30 2319
1.ACL权限 1.ACL权限简介和开启 查看分区ACL权限是否开启,dupe2fs -h /dev/sda3 dumpe2fs命令是查询指定分区详细文件系统信息的命令 -h:仅显示超级块中的信息,而不先对 2.查看和设定ACL权限 3.最大有效权限与删除ACL权限 4.默认ACL权限和递归ACL权限 2.文件特殊权限 3.文件系统属性chattr权限 4.系统命令sudo权限 ...
.net core 3.1 AllowAnonymous特性无效
elvismile的博客
01-16 8085
.net core 2.0 自定义权限过滤器和忽略验证的实现方式 继承Microsoft.AspNetCore.Mvc.Filters.IAuthorizationFilter实现自定义的过滤器 在不需要过滤器验证的Action或Controller上增加特性[AllowAnonymous] 在过滤器的OnAuthorization方法内对该特性进行判断,包含该特性的Controller或者Ac...
授权过滤器MVC中使用授权过滤器实现JWT权限认证
最新发布
weixin_43163153的博客
08-07 453
一、什么是过滤器过滤器定义: ​ 过滤器与中间件很相似,过滤器(Filters)可在管道(pipeline)特定阶段(particular stage)前或后执行操作,可以将过滤器视为拦截器(interceptors)。在.NET MVC开发中,权限验证是非常重要的一部分。通过使用授权过滤器可以很方便地实现权限验证功能。这篇主要分享授权过滤器的使用。 二、过滤器的种类: ​ 过滤...
MVC过滤器.zip
04-23
本压缩包“MVC过滤器.zip”似乎包含了一些关于方法过滤器、权限过滤器和异常过滤器的示例或实现,这些是MVC过滤器的常见类型。 1. **方法过滤器**:方法过滤器主要在控制器的方法(Action)执行前后被调用,可以...
MVCFilter过滤器.rar
03-29
1. **授权过滤器Authorization Filters)**:这类过滤器用于验证用户是否有权限访问某个控制器或操作。如果用户未通过验证,过滤器会阻止操作的执行。例如,可以使用`[Authorize]`属性来限制只有已登录用户才能...
mvc模式过滤器简单登录
12-20
在IT行业中,MVC(Model-View-Controller)模式是一种广泛应用的软件设计模式,尤其在Web开发领域。这种模式将应用程序分为三个主要组件...这是一个很好的学习实例,对于理解和应用MVC模式以及过滤器技术具有实践意义。
.NET 实现虚拟WebShell第2课之AuthenticationFilter
biyusr的专栏
09-14 393
NET MVC下还有很多这样的过滤器可以被用来实现虚拟Webshell,如果对这些技巧感兴趣的话可以多关注我们的博客、公众号dotNet安全矩阵以及星球,下一篇将继续分享 .NET相关的安全知识,请大伙继续关注。另外文章涉及的PDF和Demo以及工具已打包发布在星球,欢迎对.NET安全关注和关心的同学加入我们,在这里能遇到有情有义的小伙伴,大家聚在一起做一件有意义的事。
asp.net mvc5 身份验证过滤器
hao123369963的专栏
11-07 6852
目前,开发人员怎么运用身份验证过滤器
[ASP.NET MVC] 利用自定义的AuthenticationFilter实现Basic认证
weixin_34050389的博客
04-16 177
很多情况下目标Action方法都要求在一个安全上下文中被执行,这里所谓的安全上下文主要指的是当前请求者是一个经过授权的用户。授权的本质就是让用户在他许可的权限范围内做他能够做的事情,授权的前提是请求者是一个经过认证的用户。质询-应答(Chanllenge-Response)”是用户认证采用的一种常用的形式,认证方向被认证方发出质询以要求其提供用于实施认证的用户凭证,而被认证方提供相应的凭证以作为对...
解决ASP.NET Web api 使用AllowAnonymous特性不起作用的问题
MDZZ666的博客
03-12 6359
问题:在控制器或方法添加[AllowAnonymous]特性的时候,无法跳过继承AuthorizeAttribute的子类的验证。 原因:
身份验证过滤器
dxm809的博客
02-26 1043
/********************************BasicAuthenticationFilterController ************************************/ using System.Web.Mvc; using Chapter15.Areas.BasicAuthenticationFilter.Models; using Chapter1...
AOP实践--利用MVC5 Filter实现登录状态判断
weixin_30340819的博客
06-21 85
AOP有的翻译“面向切面编程”,有的是“面向方面编程”。其实名字不重要,思想才是核心,mvcFilter让我们很 方便达到这种面向方面编程,就是在现有代码的基础上注入外部代码,也就是所谓的面向方面编程,比如身份 验证。 下面通过一个具体的例子来体验一下MVC的AOP。 1、定义一AuthenAdminAttribute特性类 public class AuthenAdminAttribute :...
证书不被信任解决方法
热门推荐
weixin_36259863的博客
09-21 1万+
早上请求接口出现下列错误: xml parser error:Error Domain=NSURLErrorDomain Code=-1202 “此服务器的证书无效。您可能正在连接到一个伪装成“192.168.2.61”的服务器,这会威胁到您的机密信息的安全。” UserInfo=0x190c7ce0 {NSLocalizedDescription=此服务器的证书无效。您可能正在连接到一个伪装成
白话学习MVC(八)Action的执行二
weixin_34260991的博客
11-21 125
一、概述   上篇博文《白话学习MVC(七)Action的执行一》介绍了ASP.NET MVC中Action的执行的简要流程,并且对TempData的运行机制进行了详细的分析,本篇来分析上一篇中遗留的【3-2、ActionInvoker.InvokeAction(ControllerContext, actionName)】部分的内容,其中包含了Action的执行、过滤器的执行、View的呈现(...
ASP.NET MVC深度探索:Action过滤器与单元测试
1. Action过滤器: - 动作过滤器(Action Filter)可以应用于单个控制器动作或整个控制器,执行自定义逻辑。这包括在动作执行前后的操作,如身份验证、日志记录、性能跟踪等。 - ASP.NET MVC框架内建了一些预定义...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值