ASP.NET MVC5（五）：身份验证、授权

最新推荐文章于 2024-05-12 20:32:47 发布

八哥~

最新推荐文章于 2024-05-12 20:32:47 发布

阅读量1.1k

点赞数

文章标签： asp.net mvc 后端

本文链接：https://blog.csdn.net/weixin_46879188/article/details/121904777

版权

使用Authorize特性进行身份验证
　　通常情况下，应用程序都是要求用户登录系统之后才能访问某些特定的部分。在ASP.NET MVC中，可以通过使用Authorize特性来实现，甚至可以对整个应用程序全局使用Authorize特性。

Authorize的用法
本节以一个添加产品的示例来说明Authorize的使用方法。首先，创建Product类、添加属性（如下所示）并创建ProductsController（MVC5 Controller with views,using Entity Framework）。

public class Product
{
//产品编号
public int Id { get; set; }
//产品名称
public string ProductName { get; set; }
//产品描述
public string Description { get; set; }
//产品价格
public decimal Price { get; set; }
}
运行程序，将Url定位到/Products/Create，添加如下产品。

此时收到用户需求，必须是已经登录的用户才可以添加产品，如匿名用户请求访问产品创建页面，则直接定位到登录界面。修改ProdutsController，只需要在Create动作上添加Authorize特性。

[Authorize]
public ActionResult Create()
{
    return View();
}

这时，我们在未登录状态下请求访问产品创建页面时，系统自动跳转到登录页面。下面，我们来看一看Authorize特性的的工作原理。当用户请求一个Action时，会调用OnAuthorization方法：

public virtual void OnAuthorization(AuthorizationContext filterContext)
{
    if (filterContext == null)
    {
        throw new ArgumentNullException("filterContext");
    }

    if (OutputCacheAttribute.IsChildActionCacheActive(filterContext))
    {
        // If a child action cache block is active, we need to fail immediately, even if authorization
        // would have succeeded. The reason is that there's no way to hook a callback to rerun
        // authorization before the fragment is served from the cache, so we can't guarantee that this
        // filter will be re-run on subsequent requests.
        throw new InvalidOperationException(MvcResources.AuthorizeAttribute_CannotUseWithinChildActionCache);
    }

    bool skipAuthorization = filterContext.ActionDescriptor.IsDefined(typeof(AllowAnonymousAttribute), inherit: true)
                             || filterContext.ActionDescriptor.ControllerDescriptor.IsDefined(typeof(AllowAnonymousAttribute), inherit: true);

    if (skipAuthorization)
    {
        return;
    }

    if (AuthorizeCore(filterContext.HttpContext))
    {
        // ** IMPORTANT **
        // Since we're performing authorization at the action level, the authorization code runs
        // after the output caching module. In the worst case this could allow an authorized user
        // to cause the page to be cached, then an unauthorized user would later be served the
        // cached page. We work around this by telling proxies not to cache the sensitive page,
        // then we hook our custom authorization code into the caching mechanism so that we have
        // the final say on whether a page should be served from the cache.

        HttpCachePolicyBase cachePolicy = filterContext.HttpContext.Response.Cache;
        cachePolicy.SetProxyMaxAge(new TimeSpan(0));
        cachePolicy.AddValidationCallback(CacheValidateHandler, null /* data */);
    }
    else
    {
        HandleUnauthorizedRequest(filterContext);
    }
}

skipAuthorization代表是否跳过验证，如果Action或Controller定义了AllowAnonymous特性，则跳过验证。若不跳过验证，则会判断AuthorizeCore方法的执行结果，再来看看AuthorizeCore方法的源码：

protected virtual bool AuthorizeCore(HttpContextBase httpContext)
{
    if (httpContext == null)
    {
        throw new ArgumentNullException("httpContext");
    }

    IPrincipal user = httpContext.User;
    if (!user.Identity.IsAuthenticated)
    {
        return false;
    }

    if (_usersSplit.Length > 0 && !_usersSplit.Contains(user.Identity.Name, StringComparer.OrdinalIgnoreCase))
    {
        return false;
    }

    if (_rolesSplit.Length > 0 && !_rolesSplit.Any(user.IsInRole))
    {
        return false;
    }

    return true;
}

如果用户没有登录，则返回False；如果用户组长度大于0且不包括当前用户，则返回False；如果授权角色长度大于0且不包含当前用户，返回False；否则返回True 。

★Authorize特性不仅可以用在Action上，同样可以使用在Controller上

全局授权过滤器
　　对于大部分网站而言，基本上整个应用程序都需要身份验证，当然我们不可能在每个控制器上添加Authorize特性。此时，把AuthorizeAttribute配置为全局过滤器，并使用AllowAnonymous特性来允许匿名访问某些控制器或方法。修改App_Start/FilterConfig.cs文件中的RegisterGlobalFilters方法：

public static void RegisterGlobalFilters(GlobalFilterCollection filters)
{
    filters.Add(new AuthorizeAttribute());
    filters.Add(new HandleErrorAttribute());
}

注意，在AccountController中的Login方法，系统已经帮我们添加了AllowAnonymous特性，不然是无法正常登陆的。

[AllowAnonymous]
public ActionResult Login(string returnUrl)
{
    ViewBag.ReturnUrl = returnUrl;
    return View();
}

##授权
使用Authorize特性限定用户或角色的访问
　　目前为止，已经介绍了使用Authorize特性禁止匿名用户访问控制器或方法。同样的，我们也可以使用Authorize特性来限定特定用户或角色的访问。上一节中的示例，新增只有Administrator角色用户才能够编辑产品的功能。

[Authorize(Roles ="Administrator")]
public ActionResult Edit(int? id)
{
    if (id == null)
    {
        return new HttpStatusCodeResult(HttpStatusCode.BadRequest);
    }
    Product product = db.Products.Find(id);
    if (product == null)
    {
        return HttpNotFound();
    }
    return View(product);
}

当然，我们也可以通过指定用户的方式来限定访问：

[Authorize(Users = "Jack,Mike,July")]
public ActionResult Edit(int? id)
{
    if (id == null)
    {
        return new HttpStatusCodeResult(HttpStatusCode.BadRequest);
    }
    Product product = db.Products.Find(id);
    if (product == null)
    {
        return HttpNotFound();
    }
    return View(product);
}

八哥~

关注

0
点赞
踩
2

收藏

觉得还不错? 一键收藏
0
评论
ASP.NET MVC5（五）：身份验证、授权

使用Authorize特性进行身份验证　　通常情况下，应用程序都是要求用户登录系统之后才能访问某些特定的部分。在ASP.NET MVC中，可以通过使用Authorize特性来实现，甚至可以对整个应用程序全局使用Authorize特性。Authorize的用法本节以一个添加产品的示例来说明Authorize的使用方法。首先，创建Product类、添加属性（如下所示）并创建ProductsController（MVC5 Controller with views,using Entity Framewor
复制链接

扫一扫