有段时间没写博客了,最近工作比较忙,能敲代码的时间也不多。

  我一直有一个想法,想给单位免费做点小软件,一切思路都想好了,但是卡在一个非常基础的问题上:登陆与授权。

  为此,我看了很多关于微软提供的Identity、MemberShip的资料。

  但我发现,这两种方式都是默认代码优先(不知道为啥就是那么讨厌CODE FIRST),配置如此复杂恶心。实在很不爽,所以,我要想想其他的办法。

  直到我发现了Authorize特性,以此开始,找到了一个利用Authorize特性+Forms身份验证 做 验证与授权 的解决方案

  ( 也许这套解决方案不是很好,也欢迎各位大神指点一二)

一、Authorize特性

  Authorize特性是微软提供的一个用于身份验证和授权的特性,一般提倡于用在MVC中。

    它的用法也很简单

        [Authorize]  //不加任何惨呼标示,必须要登陆才能访问控制器

        public ActionResult Index()

        {

            return View();

        }

            [Authorize(Users="张三")]  //加一个Users参数,表示限制用户名为“张三”的人才能访问

        public ActionResult About()

        {

            return View();

        }

        [Authorize(Roles="admin")]//限制权限为“admin”的人才能访问

        public ActionResult Test()

        {

            return View();

        }

//当然,Users和Roles两个参数可以一起使用

  第一次使用这个特性,总感觉好神奇。我们有必要反编译一下这个Authorize看它到底如何。首先我们看看这个特性里面有哪些成员





   我猜大部分初学者看元数据都会一脸懵逼,因为找不到切入点,楼主不才,现在总结了一个小窍门:凡是实现了接口的类,首先看看它的接口成员有什么,接口里很有可能是切入点。在这里我们就看IAuthorizationFilter


     这个接口实现了OnAuthorization()方法,我们就从这里入手。




        public virtual void OnAuthorization(AuthorizationContext filterContext)

        {

            if (filterContext == null)

            {

                throw new ArgumentNullException("filterContext");

            }

            if (OutputCacheAttribute.IsChildActionCacheActive(filterContext))

            {

                throw new InvalidOperationException(MvcResources.AuthorizeAttribute_CannotUseWithinChildActionCache);

            }

            if (!filterContext.ActionDescriptor.IsDefined(typeof(AllowAnonymousAttribute), true) && !filterContext.ActionDescriptor.ControllerDescriptor.IsDefined(typeof(AllowAnonymousAttribute), true))

            {

                if (this.AuthorizeCore(filterContext.HttpContext)) //这里调用它的验证内核进行验证。

                {

                    HttpCachePolicyBase cache = filterContext.HttpContext.Response.Cache;

                    cache.SetProxyMaxAge(new TimeSpan(0L));

                    cache.AddValidationCallback(new HttpCacheValidateHandler(this.CacheValidateHandler), null);

                }

                else

                {

                    this.HandleUnauthorizedRequest(filterContext);

                }

            }

        }

        protected virtual bool AuthorizeCore(HttpContextBase httpContext)  //这里做具体的验证

        {

            if (httpContext == null)

            {

                throw new ArgumentNullException("httpContext");

            }

            IPrincipal user = httpContext.User;

            if (!user.Identity.IsAuthenticated)

            {

                return false;

            }

            if ((this._usersSplit.Length > 0) && !this._usersSplit.Contains<string>(user.Identity.Name, StringComparer.OrdinalIgnoreCase))

            {

                return false;

            }

            if ((this._rolesSplit.Length > 0) && !this._rolesSplit.Any<string>(new Func<string, bool>(user.IsInRole)))

            {

                return false;

            }

            return true;

        }





      OnAuthorization()方法中调用AuthorizeCore()方法,在它里面进行具体的验证。


      这里面有个 HttpContextBase,是不是很熟悉?(不熟悉的话,HttpContext总该熟悉了吧,你可以看看它们之间的继承关系)


      AuthorizeCore()做具体验证的方式就是比对HttpContext里面的User属性,无论是校验是否登陆、还是校验用户名字、还是校验用户角色(权限),都是用这个对象来做的。


   那么这个HttpContext.User到底是怎么回事呢?它又是怎么来的呢?


二、IPrincipal接口与HttpContext.User对象


   HttpContext.User对象我们转到定义一看,它其实就是一个IPrincipal接口。


     IPrincipal接口很简单,就一个标示身份的IIdentity接口的属性,一个是否授权方法。IIdentity接口也不复杂,就是一个用户名、是否授权、一个授权类型。




    // 摘要:

    //     定义用户对象的基本功能。

    [ComVisible(true)]

    public interface IPrincipal

    {

        // 摘要:

        //     获取当前用户的标识。

        //

        // 返回结果:

        //     与当前用户关联的 System.Security.Principal.IIdentity 对象。

        IIdentity Identity { get; }

        // 摘要:

        //     确定当前用户是否属于指定的角色。

        //

        // 参数:

        //   role:

        //     要检查其成员资格的角色的名称。

        //

        // 返回结果:

        //     如果当前用户是指定角色的成员,则为 true;否则为 false。

        bool IsInRole(string role);

    }



// 摘要: 
    //     定义标识对象的基本功能。
    [ComVisible(true)]
    public interface IIdentity
    {
        // 摘要: 
        //     获取所使用的身份验证的类型。
        //
        // 返回结果: 
        //     用于标识用户的身份验证的类型。
        string AuthenticationType { get; }
        //
        // 摘要: 
        //     获取一个值,该值指示是否验证了用户。
        //
        // 返回结果: 
        //     如果用户已经过验证,则为 true;否则为 false。
        bool IsAuthenticated { get; }
        //
        // 摘要: 
        //     获取当前用户的名称。
        //
        // 返回结果: 
        //     用户名,代码当前即以该用户的名义运行。
        string Name { get; }
    }




    当我们的请求在进入HTTP处理管道之后,某个位置只要给我们的HttpContext.User实例化出一个对象,我们的Authorize特性就能成功地使用了。因为这个特性的验证方法里,会调User对象的Identity.IsAuthenticated,和IsInRole方法来判断用户的请求是否通过验证和授权。 


    (明天继续补充)
												


											
2017年3月14日-----------乱码新手自学.net 之Authorize特性与Forms身份验证(登陆验证、授权小实例)的更多相关文章
	

    
								
  1. 2017年2月22日-----------乱码新手自学.net 之Entity Framework 增删改
		
    由于我是自学的,没有人教,在网上查资料也查不到个所以然.问大神们也是爱理不理的. 所以这篇随笔纯粹源自于我自己的认识.是否真正正确我也没有把握. 如果有什么错误,请大神们给予指正 ========== ...
    
		
    2. 
						
  2. 2017年2月16日-----------乱码新手自学.net 之MVC模型
		
    第二篇博文,最近学习的内容还是回到了正题:ASP.NET MVC5之上.虽然EF学了个一知半解,但是用这点知识,看MVC5的MODEL部分应该还是够了.尽管周末还要恶补一下EF才行. (一)MVC简述 ...
    
		
    3. 
						
  3. 2017年2月28日-----------乱码新手自学.net 之特性与验证
		
    现在看asp.net MVC5自学已经到了第六章:数据注解与验证. 话得从以前看MVC music store(音乐商店项目)的源码说起, 最初看music store源码完全就是一脸懵逼,整个程序, ...
    
		
    4. 
						
  4. Android Studio最新稳定版下载 - 百度网盘(更新于2017年7月14日)
		
    Android Studio是一个为Android平台开发程序的集成开发环境,其包含用于构建Android应用所需的所有工具.Android Studio 2.3.3为最新稳定版(截止到2017年7月 ...
    
		
    5. 
						
  5. 读C#开发实战1200例子记录-2017年8月14日11:20:38获取汉字编码值
		
    try { char chr = textBox1.Text[0]; byte[] gb2312_bt = Encoding.GetEncoding("gb2312").GetBy ...
    
		
    6. 
						
  6. 读C#开发实战1200例子记录-2017年8月14日10:03:55
		
    C# 语言基础应用,注释 "///"标记不仅仅可以为代码段添加说明,它还有一项更重要的工作,就是用于生成自动文档.自动文档一般用于描述项目,是项目更加清晰直观.在VisualStu ...
    
		
    7. 
						
  7. 【http学习杂记】2017年7月14日
		
    1. 连接超时 连接超时是tcp协议层次, 此时服务器还没有处理请求数据,也就是说服务器的逻辑开没有执行 2. 请求超时 请求超时属于服务器已经连接成功并开始处理,但是时间比较长,大于你设置的请求超时 ...
    
		
    8. 
						
  8. 2017年12月14日 LinQ高级查&&Asp.net WebForm Asp.net MVC
		
    LinQ的高级查询用法 开头:StartsWith()结尾:EndsWith()模糊:Contains() 个数:Count最大值:Max(r => r.price)最小值:Min(r => ...
    
		
    9. 
						
  9. spring@Autowired注入为null的问题,2017年9月14日21点41分记录
		
    这个小问题纠结了三个小时..发出来留个纪念 这是启动项目的时候 这是请求控制器的时候   图1注入的时候是null,图2请求控制器的时候是有的,这是因为图1debug的地方是构造器..autowire ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. inteliji ---idea  如何创建scala程序配置
			
    首先创建一个新的工程: #####################################################################################
    
			
    2. 
						
  2. vim 模式下的几个快捷用法
			
    1.ctrl + v  (-- VISUAL BLOCK --) 选中块模式,y 复制,d 剪切,p 粘贴,Esc退出模式 2.Shift + v  (-- VISUAL LINE -- ) 快速行选 ...
    
			
    3. 
						
  3. 1026 Table Tennis (30)(30 分)
			
    A table tennis club has N tables available to the public. The tables are numbered from 1 to N. For a ...
    
			
    4. 
						
  4. poj1475 Pushing Boxes[双重BFS(毒瘤搜索题)]
			
    地址. 很重要的搜索题.★★★ 吐槽:算是写过的一道码量比较大的搜索题了,细节多,还比较毒瘤.虽然是一遍AC的,其实我提前偷了大数据,但是思路还是想了好长时间,照理说想了半小时出不来,我就会翻题解,但 ...
    
			
    5. 
						
  5. poj3468区间加减查找——树状数组区间修改查询
			
    题目:http://poj.org/problem?id=3468 增加一个更改量数组,施以差值用法则区间修改变为单位置修改: 利用公式可通过树状数组维护两个数组:f与g而直接求出区间和. 代码如下: ...
    
			
    6. 
						
  6. 为BindingList添加Sort
			
    最近在优化WPF性能时, 发现在特定条件下BindingList比ObservableCollection性能更高, 因为它提供Disable/Enable 更改通知的方法.这样我们可以不需要很频繁的 ...
    
			
    7. 
						
  7. maven学习九  关于maven一些參數
			
    一 maven profile:      不同的运行环境,比如开发环境.测试环境.生产环境,而我们的软件在不同的环境中,有的配置可能会不一样,比如数据源配置.日志文件配置.以及一些软件运行过程中的基 ...
    
			
    8. 
						
  8. NLB
			
    http://www.cnblogs.com/allegro/archive/2011/02/11/1951171.html
    
			
    9. 
						
  9. 关于System类中out属性 实例化的问题
			
    System类中out属性的声明是这样的: public final static PrintStream out = nullPrintStream(); private static PrintS ...
    
			
    10. 
						
  10. 转:isualvm远程监控Tomcat
			
    一.Java VisualVM 概述 对于使用命令行远程监控jvm 太麻烦 . 在jdk1.6 中 Oracle 提供了一个新的可视化的. JVM 监控工具 Java VisualVM .jvisua ...
    
			
    11.