对InvokeAction简略分析了解验证失败为什么Action还会继续执行

一、前言

有些同学使用AuthorizationFilter来进行用户是否登录验证，如果未登录就跳到登录页。

很简单的一个场景，但是有些同学会发现虽然验证失败了，但是整个Action还会执行一遍。

于是google啊google啊，然后找到了解决方案，但是不知为啥，下面就对InvokeAction的简略分析，说说到底是为啥。

二、分析InvokeAction执行顺序

1、首先获取Controller和Action描述类

ControllerDescriptor controllerDescriptor = GetControllerDescriptor(controllerContext);
ActionDescriptor actionDescriptor = FindAction(controllerContext, controllerDescriptor, actionName);

2、大家都知道每个Action执行前会先执行一些Filters，所以首先需要获取所有FilterScope为Action的Filters

FilterInfo filterInfo = GetFilters(controllerContext, actionDescriptor);

3、Filter的执行是有顺序的，AuthenticationFilter最先执行，接下来就是执行AuthenticationFilter的代码

AuthenticationContext authenticationContext = InvokeAuthenticationFilters(controllerContext, filterInfo.AuthenticationFilters, actionDescriptor);

这里要注意，AuthenticationContext有个属性Result，如果验证失败一定要设置这个属性的值，否则看看下面的代码就知道了。

if (authenticationContext.Result != null)
{
    // An authentication filter signaled that we should short-circuit the request. Let all
    // authentication filters contribute to an action result (to combine authentication
    // challenges). Then, run this action result.
    AuthenticationChallengeContext challengeContext = InvokeAuthenticationFiltersChallenge(
        controllerContext, filterInfo.AuthenticationFilters, actionDescriptor,
        authenticationContext.Result);
    InvokeActionResult(controllerContext, challengeContext.Result ?? authenticationContext.Result);
}
else
{
    ...
}

看到了吧，如果你设置Result的值，此时就会执行你设置的Result，如果不设置就会继续走下去，会走哪去，一直往后看，你就知道了。

插一下，我们先看看 InvokeActionResult(ControllerContext controllerContext, ActionResult actionResult)是什么东东。

protected virtual void InvokeActionResult(ControllerContext controllerContext, ActionResult actionResult)
{
    actionResult.ExecuteResult(controllerContext);
}

这个方法看字面意思是执行一个ActionResult，还是看两个简单的例子吧。

（1）ContentResult

public override void ExecuteResult(ControllerContext context)
{
    if (context == null)
    {
        throw new ArgumentNullException("context");
    }

    HttpResponseBase response = context.HttpContext.Response;

    if (!String.IsNullOrEmpty(ContentType))
    {
        response.ContentType = ContentType;
    }
    if (ContentEncoding != null)
    {
        response.ContentEncoding = ContentEncoding;
    }
    if (Content != null)
    {
        response.Write(Content);
    }
}

很简单吧，就是把你设置的Content输出到页面中，用的也是response.Write(content)方法，所以在Mvc中完全可以用ContentResult替换response.Write(content).

 （2）HttpStatusCodeResult

public override void ExecuteResult(ControllerContext context)
{
    if (context == null)
    {
        throw new ArgumentNullException("context");
    }

    context.HttpContext.Response.StatusCode = StatusCode;
    if (StatusDescription != null)
    {
        context.HttpContext.Response.StatusDescription = StatusDescription;
    }
}

HttpStatusCodeResult 是HttpUnauthorizedResult 的基类，HttpUnauthorizedResult是什么？自己看字面意思也看出来了。

这个Result的ExecuteResult的更简单，只是设置Response.StatusCode和StatusDescription。

4、回到InvokeAction中来，接着InvokeAuthenticationFilters这个方法的执行往下看

if (authenticationContext.Result != null)已经解释了，然后看看else。else中就开始执行AuthorizationFilters了，此处终于知道为什么AuthenticationFilters执行在前了吧。

只有authenticationContext.Result不设置值的时候，才会执行AuthorizationFilters，所以如果你想AuthenticationFilters验证失败之后，就退出Action，一定要设置Result.

其实AuthorizationFilters的执行方式和AuthenticationFilters类似，如果设置了AuthorizationContext的Result属性，就会执行Result，否则就继续往下执行。

AuthorizationContext authorizationContext = InvokeAuthorizationFilters(controllerContext, filterInfo.AuthorizationFilters, actionDescriptor);
if (authorizationContext.Result != null)
{
    // An authorization filter signaled that we should short-circuit the request. Let all
    // authentication filters contribute to an action result (to combine authentication
    // challenges). Then, run this action result.
    AuthenticationChallengeContext challengeContext = InvokeAuthenticationFiltersChallenge(
        controllerContext, filterInfo.AuthenticationFilters, actionDescriptor,
        authorizationContext.Result);
    InvokeActionResult(controllerContext, challengeContext.Result ?? authorizationContext.Result);
}
else
{
    // 如果你没有其他的Filters、没有设置OnActionXXX等等，你的Action内的代码就会在这里被调用执行了。
    ...
}

看到这里，是不是有些同学会想：“原来如此啊”。

三、总结

由于微软没有提供AuthenticationFilter对应的基类，只提供了一个IAuthenticationFilter，所以我们就用AuthorizeAttribute来进行总结。

一些同学自定义AuthorizationFilters的时候，代码结尾没有调用基类的 OnAuthorization，也没有设置FilterContext的Result属性，只是进行Response.Redirect或者其他认为跳出Action执行的代码。这样其实等于没有进行验证，Action中的代码还是会执行。

在进行AuthorizationFilters的时候，如果想验证失败之后，不执行Action的方法，可以有以下两种方法：

（1）调用基类的 OnAuthorization，我们看看基类 OnAuthorization 都干了啥？

public virtual void OnAuthorization(AuthorizationContext filterContext)
{
    ...

    if (AuthorizeCore(filterContext.HttpContext))
    {
        ...
    }
    else
    {
        HandleUnauthorizedRequest(filterContext); // 主要看这个方法
    }
}
protected virtual void HandleUnauthorizedRequest(AuthorizationContext filterContext)
{
    // Returns HTTP 401 - see comment in HttpUnauthorizedResult.cs.
    filterContext.Result = new HttpUnauthorizedResult();
}

HttpUnauthorizedResult：这个类有没有看着眼熟，对了，就是前面讲Result中的第二个例子的子类。

（2）给filterContext的Result属性设置一个Result，即使是EmptyResult都可以，如果你想输出点内容到页面中，那就使用ContetResult，前面说过它是通过调用Response.Write()来实现的。

最后附上ControllerActionInvoker:InvokeAction(L230)方法的详细内容：

public virtual bool InvokeAction(ControllerContext controllerContext, string actionName)
{
    if (controllerContext == null)
    {
        throw new ArgumentNullException("controllerContext");
    }

    Contract.Assert(controllerContext.RouteData != null);
    if (String.IsNullOrEmpty(actionName) && !controllerContext.RouteData.HasDirectRouteMatch())
    {
        throw new ArgumentException(MvcResources.Common_NullOrEmpty, "actionName");
    }

    ControllerDescriptor controllerDescriptor = GetControllerDescriptor(controllerContext);
    ActionDescriptor actionDescriptor = FindAction(controllerContext, controllerDescriptor, actionName);

    if (actionDescriptor != null)
    {
        FilterInfo filterInfo = GetFilters(controllerContext, actionDescriptor);

        try
        {
            AuthenticationContext authenticationContext = InvokeAuthenticationFilters(controllerContext, filterInfo.AuthenticationFilters, actionDescriptor);

            if (authenticationContext.Result != null)
            {
                // An authentication filter signaled that we should short-circuit the request. Let all
                // authentication filters contribute to an action result (to combine authentication
                // challenges). Then, run this action result.
                AuthenticationChallengeContext challengeContext = InvokeAuthenticationFiltersChallenge(
                    controllerContext, filterInfo.AuthenticationFilters, actionDescriptor,
                    authenticationContext.Result);
                InvokeActionResult(controllerContext, challengeContext.Result ?? authenticationContext.Result);
            }
            else
            {
                AuthorizationContext authorizationContext = InvokeAuthorizationFilters(controllerContext, filterInfo.AuthorizationFilters, actionDescriptor);
                if (authorizationContext.Result != null)
                {
                    // An authorization filter signaled that we should short-circuit the request. Let all
                    // authentication filters contribute to an action result (to combine authentication
                    // challenges). Then, run this action result.
                    AuthenticationChallengeContext challengeContext = InvokeAuthenticationFiltersChallenge(
                        controllerContext, filterInfo.AuthenticationFilters, actionDescriptor,
                        authorizationContext.Result);
                    InvokeActionResult(controllerContext, challengeContext.Result ?? authorizationContext.Result);
                }
                else
                {
                    if (controllerContext.Controller.ValidateRequest)
                    {
                        ValidateRequest(controllerContext);
                    }

                    IDictionary<string, object> parameters = GetParameterValues(controllerContext, actionDescriptor);
                    ActionExecutedContext postActionContext = InvokeActionMethodWithFilters(controllerContext, filterInfo.ActionFilters, actionDescriptor, parameters);

                    // The action succeeded. Let all authentication filters contribute to an action result (to
                    // combine authentication challenges; some authentication filters need to do negotiation
                    // even on a successful result). Then, run this action result.
                    AuthenticationChallengeContext challengeContext = InvokeAuthenticationFiltersChallenge(
                        controllerContext, filterInfo.AuthenticationFilters, actionDescriptor,
                        postActionContext.Result);
                    InvokeActionResultWithFilters(controllerContext, filterInfo.ResultFilters,
                        challengeContext.Result ?? postActionContext.Result);
                }
            }
        }
        catch (ThreadAbortException)
        {
            // This type of exception occurs as a result of Response.Redirect(), but we special-case so that
            // the filters don't see this as an error.
            throw;
        }
        catch (Exception ex)
        {
            // something blew up, so execute the exception filters
            ExceptionContext exceptionContext = InvokeExceptionFilters(controllerContext, filterInfo.ExceptionFilters, ex);
            if (!exceptionContext.ExceptionHandled)
            {
                throw;
            }
            InvokeActionResult(controllerContext, exceptionContext.Result);
        }

        return true;
    }

    // notify controller that no method matched
    return false;
}