ASP.NET MVC5学习系列——身份验证、授权

最新推荐文章于 2024-09-19 09:46:00 发布
最新推荐文章于 2024-09-19 09:46:00 发布
阅读量553 收藏 1
点赞数
文章标签: 测试
原文链接:http://www.cnblogs.com/qtiger/p/9641163.html
版权

一、什么是身份验证和授权

  人们有时对用户身份验证和用户授权之间的区别感到疑惑。用户身份验证是指通过某种形式的登录机制(包括用户名/密码、OpenID、OAuth等说明身份的项)来核实用户的身份。授权验证是用来核实登录站点的用户是否在他们所具有的权限内执行操作,这通常使用一些基于角色或者基于声明的系统来实现。

二、AuthorizeAttribute的使用

  1、MVC5只要将属性[Authorize]置于相关的action之前就行,那么在调用Buy action之前,就会运用Authorize过滤器。

[Authorize]
public ActionResult Index(int id)
{
    //其它相关逻辑代码放在这里
    
}

  2、MVC5将属性[Authorize]置于整个Controller之上。这样位于此控制器下的所有action就都运用了此过滤器。

[Authorize]
public class HomeController:Controller
{
    public active Index
    {    }  
     //其他action      
}

  3、MVC5将Authorize应用到全部的应用程序的范围内,要使AuthorizeAttribute成为全局过滤器,只要将其加入全局过滤器集合RegisterGlobalFilters方法。

  对于大部分网站而言,基本上整个应用程序都需要身份验证,当然我们不可能在每个控制器上添加Authorize特性。此时,把AuthorizeAttribute配置为全局过滤器,并使用AllowAnonymous特性来允许匿名访问某些控制器或方法。修改App_Start/FilterConfig.cs文件中的RegisterGlobalFilters方法:

public static void RegisterGlobalFilters(GlobalFilterCollection filters)
{
    filters.Add(new AuthorizeAttribute());
    filters.Add(new HandleErrorAttribute());
}

  (1)注意,在LoginController中的Login方法,系统已经帮我们添加了AllowAnonymous特性,不然是无法正常登陆的。

[AllowAnonymous]
public ActionResult Login(string returnUrl)
{
    return View();
}

  (2)全局控制器的应用只适用于MVC的Controller和Action,对于Web Forms,静态页面,和其它的HTTP handlers 都不适用。

三、重写(扩展)授权过滤器

  扩展授权过滤器可以定义继承自AuthorizeAttribute的类,也可以定义同时继承自FilterAttribute, IAuthorizationFilter接口的类。 

  //预定义特性 AttributeUsage 描述了如何使用一个自定义特性类。它规定了特性可应用到的项目的类型。  
  [AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, Inherited = true, AllowMultiple = true)]
    public class AuthorizeAttribute : FilterAttribute, IAuthorizationFilter
    {
     //重写时,提供一个入口点用于进行自定义授权检查
        // 返回结果: 如果用户已经过授权,则为 true;否则为 false。
        // 异常:System.ArgumentNullException:httpContext 参数为 null。
        protected virtual bool AuthorizeCore(HttpContextBase httpContext);

        //处理未能授权的 HTTP 请求。
        protected virtual void HandleUnauthorizedRequest(AuthorizationContext filterContext);

        //在过程请求授权时调用。
        // 异常: System.ArgumentNullException:
        //filterContext 参数为 null。
        public virtual void OnAuthorization(AuthorizationContext filterContext);       
        
}

AuthorizeAttribute提供了三个可重新的虚方法AuthorizeCore,HandleUnauthorizedRequest,OnAuthorization,那么在执行授权动作的过程中他们是如何被调用的呢?看下源码的OnAuthorization方法,发现在这个方法中先调用AuthorizeCore,然后调用HandleUnauthorizedRequest被调用了。

     public void OnAuthorization(AuthorizationContext filterContext)
        {
            if (filterContext == null)
            {
                throw new ArgumentNullException("filterContext");
            }

            //如果子操作的缓存处于活动状态,那么就抛出异常
            if (OutputCacheAttribute.IsChildActionCacheActive(filterContext))
            {
                throw new InvalidOperationException(MvcResources.AuthorizeAttribute_CannotUseWithinChildActionCache);
            }

            //判断控制器或控制器操作是否允许匿名访问,如果可以就return
            bool skipAuthorization = filterContext.ActionDescriptor.IsDefined(typeof(AllowAnonymousAttribute), inherit: true)|| filterContext.ActionDescriptor.ControllerDescriptor.IsDefined(typeof(AllowAnonymousAttribute), inherit: true);

            if (skipAuthorization)
            {
                return;
            }

            //进行权限验证
            if (AuthorizeCore(filterContext.HttpContext))
            {
                HttpCachePolicyBase cachePolicy = filterContext.HttpContext.Response.Cache;
                cachePolicy.SetProxyMaxAge(new TimeSpan(0));
                cachePolicy.AddValidationCallback(CacheValidateHandler, null /* data */);
            }
            else
            {//处理未通过权限验证的情形
                HandleUnauthorizedRequest(filterContext);
            }
        }

源码下载https://github.com/qiuxianhu/SimpleLoginAuthorization

转载于:https://www.cnblogs.com/qtiger/p/9641163.html

weixin_30722589
关注
ASP.NET MVC5 入门 之登录验证
07-31
功能简单 IDE:VS2013 架构:ASP.NET MVC5 语言:C#
MVC5 - ASP.NET Identity登录原理 - Claims-based认证和OWIN
weixin_33754913的博客
04-01 657
在Membership系列的最后一篇引入了ASP.NET Identity,看到大家对它还是挺感兴趣的,于是来一篇详解登录原理的文章。本文会涉及到Claims-based(基于声明)的认证,我们会详细介绍什么是Claims-based认证,它与传统认证方式的区别,以及它的特点。同时我们还会介绍OWIN (Open Web Interface for .NET) 它主要定义了Web Server...
mvc5 自定义实现身份授权
qq_42335551的博客
09-26 881
mvc5自带有Identity用户管理,用户授权等,如何利用它们在我们自己的项目中对用户授权,如果授权失败,跳转一个默认的页面给用户提示,对微软Identity用户管理了理解还比较浅,大神误喷 public class MyAuthorizeAttribute : AuthorizeAttribute { /// <summary> /// ...
ASP.NET MVC5认证授权实例
08-25
ASP.NET MVC5认证授权实例,ASP.NET MVC5认证授权实例
MVC5 Authentication身份认证
weixin_30268071的博客
09-16 1565
Authentication身份认证方式分为两种:Windows、Forms;Windows认证方式适用于局域网。Forms认证方式既可适用于局域网,也可用于互联网。 在标准ASP.NET认证方式中 1.如何判断当前请求是一个已登录用户发起的? 如果Request.IsAuthenticated为true,则表示是一个已登录用户。 2.如何获取当前登录用户的登录名?如何获取当前用...
ASP.NET MVC 5高级编程 第5版_PDF电子书下载 带书签目录 高清完整版
03-07
3. **身份认证与授权**:ASP.NET MVC 5内置了基于OWIN的身份认证机制,支持OAuth和OpenID Connect,使得用户身份验证授权过程变得更加简单和安全。书中会详细讲述如何配置和自定义这些安全特性。 4. **Entity ...
ASP.NET源码——[交友会员]Asp.net MVC会员管理系统.zip
10-10
ASP.NET 源码详解——基于 MVC 的会员管理系统】 ASP.NET 是 Microsoft 推出的一种构建动态网站、Web 应用程序和 Web 服务的技术,它集成了多种开发框架,如 ASP.NET MVC(Model-View-Controller)是其中之一,...
ASP.NET源码——[博客空间]Asp.net mvc blog 小博客程序源码.zip
10-09
ASP.NET MVC提供了内置的身份验证支持,如Forms Authentication,允许用户注册、登录,并通过`[Authorize]`特性限制对某些控制器或动作的访问。 7. **视图模型(ViewModel)** 在实际应用中,为了更好地组织和传递...
ASP.NET源码——[论坛社区]ASP.NET MVC BBS 简易Demo教学版.zip
10-10
ASP.NET MVC BBS简易Demo教学版是一个用于学习和实践ASP.NET MVC框架的示例项目,它为初学者提供了一个基础的论坛社区应用的构建过程。这个压缩包包含了一个基于ASP.NET MVC 1.0版本的论坛系统源码,旨在帮助开发者...
.NET MVC5的身份认证User.Identity.Name获取值总是为空解决方法
kodmoqn的博客
08-18 244
.NET MVC5的身份认证User.Identity.Name获取值总是为空解决方法
asp.net5中的用户认证与授权(1)
10-23
Visual Studio 2015 Preview 除了给我们带了了C# 6.0的新语法、跨移动的开发以外,还给我们带来了ASP.NET5(也就是之前被称作下一代ASP.NETASP.NET vNext)。本文给大家介绍asp.net5中的用户认证与授权(1),需要的朋友可以参考下
ASP.NET MVC 身份验证-利用cookie记录登录用户
04-08
ASP.NET MVC 身份验证-利用cookie记录登录用户
.NET MVC5专题(特性篇【用户认证】Authorize)
热门推荐
一点一滴
01-13 1万+
/// <summary> /// ajax跟exception一致 /// 检验登陆和权限的filter /// </summary> [AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, Inherited = true)] public class AuthorityFilterAttrib...
ASP.NET MVC5中的Model验证
milijiangjun的博客
08-20 884
Model验证是ASP.NET MVC中的重要部分,它主要用于判断输入的数据类型及值是否符合我们设定的规则,这篇文章就介绍下ASP.NET MVC中Model验证的几种方式。 后台验证 DataAnnotation ValidationAttribute IValidatableObject IDataErrorInfo 前端验证 后台验证 DataAnnotation DataAnn...
最简实例演示asp.net5中用户认证和授权(1)
weixin_30237281的博客
10-13 165
asp.net5中,关于用户的认证和授权提供了非常丰富的功能,如果结合ef7的话,可以自动生成相关的数据库表,调用也很方便。 但是,要理解这么一大堆关于认证授权的类,或者想按照自己项目的特定要求对认证授权进行定制,确实很头疼。为了解决这个问题,需要从根本上理解认证和授权的机制,不过这不是个简单的事情,一些概念也比较抽象,为了方便理解,这里我用最简单的实例来演示如何进行认证和授权,而且是在不使用e...
.Net Mvc5Filter与权限认证扩展
weixin_30919429的博客
06-24 152
WebForm 在做WebForm的时候,如果我们要实现某页面登陆后才能访问,这个非常容易实现 public partial class IndexForm : Page { protected void Page_Load(object sender, EventArgs e) { //检查是否登录(sess...
asp.net mvc5 基于角色的权限验证
走错路的程序员
10-11 950
第一步登录的时候写入标准的权限信息到Cookie中. [HttpPost] public ActionResult DoLogin(string username, string password, string yzm, string returnUrl) { SysUser user = DB.FirstOrDefault(x =&...
ASP.Net MVC 5 高级编程 第7章 成员资格、授权和安全性
weixin_33907511的博客
04-23 120
第7章 成员资格、授权和安全性 7.1 安全性 ASP.NET MVC 提供了许多内置的保护机制(默认利用 HTML 辅助方法和Razor 语法进行 HTML编码以及请求验证等功能特性,以及通过基架构建的控制器白名单表单元素来防止重复提交攻击) 永远不要相信用户提交的任何数据。 实际的例子 每次渲染用户提交的数据的时候对其进行编码。 考虑好网站哪些部分允许用户匿名访问,哪些部分需要...
在线五子棋对战测试报告
最新发布
weixin_65331534的博客
09-19 305
对该项目主功能进行测试
精通ASP.NET MVC 5:英文版深度指南
"《Pro ASP.NET MVC 5》是一本由Adam Freeman编著的经典ASP.NET MVC技术指南,专为那些希望深入了解ASP.NET MVC 5框架的专业开发者设计。本书从基础的第一步——创建第一个MVC应用程序开始,深入浅出地讲解了这个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值