有段时间没写博客了,最近工作比较忙,能敲代码的时间也不多。

  我一直有一个想法,想给单位免费做点小软件,一切思路都想好了,但是卡在一个非常基础的问题上:登陆与授权。

  为此,我看了很多关于微软提供的Identity、MemberShip的资料。

  但我发现,这两种方式都是默认代码优先(不知道为啥就是那么讨厌CODE FIRST),配置如此复杂恶心。实在很不爽,所以,我要想想其他的办法。

  直到我发现了Authorize特性,以此开始,找到了一个利用Authorize特性+Forms身份验证 做 验证与授权 的解决方案

  ( 也许这套解决方案不是很好,也欢迎各位大神指点一二)

一、Authorize特性

  Authorize特性是微软提供的一个用于身份验证和授权的特性,一般提倡于用在MVC中。

    它的用法也很简单

        [Authorize]  //不加任何惨呼标示,必须要登陆才能访问控制器

        public ActionResult Index()

        {

            return View();

        }

            [Authorize(Users="张三")]  //加一个Users参数,表示限制用户名为“张三”的人才能访问

        public ActionResult About()

        {

            return View();

        }

        [Authorize(Roles="admin")]//限制权限为“admin”的人才能访问

        public ActionResult Test()

        {

            return View();

        }

//当然,Users和Roles两个参数可以一起使用

  第一次使用这个特性,总感觉好神奇。我们有必要反编译一下这个Authorize看它到底如何。首先我们看看这个特性里面有哪些成员





   我猜大部分初学者看元数据都会一脸懵逼,因为找不到切入点,楼主不才,现在总结了一个小窍门:凡是实现了接口的类,首先看看它的接口成员有什么,接口里很有可能是切入点。在这里我们就看IAuthorizationFilter


     这个接口实现了OnAuthorization()方法,我们就从这里入手。




        public virtual void OnAuthorization(AuthorizationContext filterContext)

        {

            if (filterContext == null)

            {

                throw new ArgumentNullException("filterContext");

            }

            if (OutputCacheAttribute.IsChildActionCacheActive(filterContext))

            {

                throw new InvalidOperationException(MvcResources.AuthorizeAttribute_CannotUseWithinChildActionCache);

            }

            if (!filterContext.ActionDescriptor.IsDefined(typeof(AllowAnonymousAttribute), true) && !filterContext.ActionDescriptor.ControllerDescriptor.IsDefined(typeof(AllowAnonymousAttribute), true))

            {

                if (this.AuthorizeCore(filterContext.HttpContext)) //这里调用它的验证内核进行验证。

                {

                    HttpCachePolicyBase cache = filterContext.HttpContext.Response.Cache;

                    cache.SetProxyMaxAge(new TimeSpan(0L));

                    cache.AddValidationCallback(new HttpCacheValidateHandler(this.CacheValidateHandler), null);

                }

                else

                {

                    this.HandleUnauthorizedRequest(filterContext);

                }

            }

        }

        protected virtual bool AuthorizeCore(HttpContextBase httpContext)  //这里做具体的验证

        {

            if (httpContext == null)

            {

                throw new ArgumentNullException("httpContext");

            }

            IPrincipal user = httpContext.User;

            if (!user.Identity.IsAuthenticated)

            {

                return false;

            }

            if ((this._usersSplit.Length > 0) && !this._usersSplit.Contains<string>(user.Identity.Name, StringComparer.OrdinalIgnoreCase))

            {

                return false;

            }

            if ((this._rolesSplit.Length > 0) && !this._rolesSplit.Any<string>(new Func<string, bool>(user.IsInRole)))

            {

                return false;

            }

            return true;

        }





      OnAuthorization()方法中调用AuthorizeCore()方法,在它里面进行具体的验证。


      这里面有个 HttpContextBase,是不是很熟悉?(不熟悉的话,HttpContext总该熟悉了吧,你可以看看它们之间的继承关系)


      AuthorizeCore()做具体验证的方式就是比对HttpContext里面的User属性,无论是校验是否登陆、还是校验用户名字、还是校验用户角色(权限),都是用这个对象来做的。


   那么这个HttpContext.User到底是怎么回事呢?它又是怎么来的呢?


二、IPrincipal接口与HttpContext.User对象


   HttpContext.User对象我们转到定义一看,它其实就是一个IPrincipal接口。


     IPrincipal接口很简单,就一个标示身份的IIdentity接口的属性,一个是否授权方法。IIdentity接口也不复杂,就是一个用户名、是否授权、一个授权类型。




    // 摘要:

    //     定义用户对象的基本功能。

    [ComVisible(true)]

    public interface IPrincipal

    {

        // 摘要:

        //     获取当前用户的标识。

        //

        // 返回结果:

        //     与当前用户关联的 System.Security.Principal.IIdentity 对象。

        IIdentity Identity { get; }

        // 摘要:

        //     确定当前用户是否属于指定的角色。

        //

        // 参数:

        //   role:

        //     要检查其成员资格的角色的名称。

        //

        // 返回结果:

        //     如果当前用户是指定角色的成员,则为 true;否则为 false。

        bool IsInRole(string role);

    }



// 摘要: 
    //     定义标识对象的基本功能。
    [ComVisible(true)]
    public interface IIdentity
    {
        // 摘要: 
        //     获取所使用的身份验证的类型。
        //
        // 返回结果: 
        //     用于标识用户的身份验证的类型。
        string AuthenticationType { get; }
        //
        // 摘要: 
        //     获取一个值,该值指示是否验证了用户。
        //
        // 返回结果: 
        //     如果用户已经过验证,则为 true;否则为 false。
        bool IsAuthenticated { get; }
        //
        // 摘要: 
        //     获取当前用户的名称。
        //
        // 返回结果: 
        //     用户名,代码当前即以该用户的名义运行。
        string Name { get; }
    }




    当我们的请求在进入HTTP处理管道之后,某个位置只要给我们的HttpContext.User实例化出一个对象,我们的Authorize特性就能成功地使用了。因为这个特性的验证方法里,会调User对象的Identity.IsAuthenticated,和IsInRole方法来判断用户的请求是否通过验证和授权。 


    (明天继续补充)
												


											
2017年3月14日-----------乱码新手自学.net 之Authorize特性与Forms身份验证(登陆验证、授权小实例)的更多相关文章
	

    
								
  1. 2017年2月22日-----------乱码新手自学.net 之Entity Framework 增删改
		
    由于我是自学的,没有人教,在网上查资料也查不到个所以然.问大神们也是爱理不理的. 所以这篇随笔纯粹源自于我自己的认识.是否真正正确我也没有把握. 如果有什么错误,请大神们给予指正 ========== ...
    
		
    2. 
						
  2. 2017年2月16日-----------乱码新手自学.net 之MVC模型
		
    第二篇博文,最近学习的内容还是回到了正题:ASP.NET MVC5之上.虽然EF学了个一知半解,但是用这点知识,看MVC5的MODEL部分应该还是够了.尽管周末还要恶补一下EF才行. (一)MVC简述 ...
    
		
    3. 
						
  3. 2017年2月28日-----------乱码新手自学.net 之特性与验证
		
    现在看asp.net MVC5自学已经到了第六章:数据注解与验证. 话得从以前看MVC music store(音乐商店项目)的源码说起, 最初看music store源码完全就是一脸懵逼,整个程序, ...
    
		
    4. 
						
  4. Android Studio最新稳定版下载 - 百度网盘(更新于2017年7月14日)
		
    Android Studio是一个为Android平台开发程序的集成开发环境,其包含用于构建Android应用所需的所有工具.Android Studio 2.3.3为最新稳定版(截止到2017年7月 ...
    
		
    5. 
						
  5. 读C#开发实战1200例子记录-2017年8月14日11:20:38获取汉字编码值
		
    try { char chr = textBox1.Text[0]; byte[] gb2312_bt = Encoding.GetEncoding("gb2312").GetBy ...
    
		
    6. 
						
  6. 读C#开发实战1200例子记录-2017年8月14日10:03:55
		
    C# 语言基础应用,注释 "///"标记不仅仅可以为代码段添加说明,它还有一项更重要的工作,就是用于生成自动文档.自动文档一般用于描述项目,是项目更加清晰直观.在VisualStu ...
    
		
    7. 
						
  7. 【http学习杂记】2017年7月14日
		
    1. 连接超时 连接超时是tcp协议层次, 此时服务器还没有处理请求数据,也就是说服务器的逻辑开没有执行 2. 请求超时 请求超时属于服务器已经连接成功并开始处理,但是时间比较长,大于你设置的请求超时 ...
    
		
    8. 
						
  8. 2017年12月14日 LinQ高级查&&Asp.net WebForm Asp.net MVC
		
    LinQ的高级查询用法 开头:StartsWith()结尾:EndsWith()模糊:Contains() 个数:Count最大值:Max(r => r.price)最小值:Min(r => ...
    
		
    9. 
						
  9. spring@Autowired注入为null的问题,2017年9月14日21点41分记录
		
    这个小问题纠结了三个小时..发出来留个纪念 这是启动项目的时候 这是请求控制器的时候   图1注入的时候是null,图2请求控制器的时候是有的,这是因为图1debug的地方是构造器..autowire ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. Codeforces 756C Nikita and stack
			
    Codeforces 756C Nikita and stack 题目大意: 给定一个对栈进行操作的操作序列,初始时序列上没有任何操作,每一次将一个本来没有操作的位置变为某一操作(push(x),po ...
    
			
    2. 
						
  2. bzoj 4275 Badania naukowe —— DP
			
    题目:https://www.lydsy.com/JudgeOnline/problem.php?id=4275 枚举 \( C \) 在 \( A \) 和 \( B \) 中的位置,然后取它前后的 ...
    
			
    3. 
						
  3. Adobe Flash Player 27 on Fedora 27/26, CentOS/RHEL 7.4/6.9
			
    This is guide, howto install Adobe Flash Player Plugin version 27 (32-bit and 64-bit) with YUM/DNF o ...
    
			
    4. 
						
  4. Html 5 版 电子时钟
			
    效果图: html 5 canvas元素  Html 5的canvas元素可以用于在网页上绘制图形[即canvas的作用]. canvas画布使用JavaScript在网页上绘制图形 其拥有绘制各种路 ...
    
			
    5. 
						
  5. Poj1007_DNA Sorting(面向对象方法)
			
    一.Description One measure of ``unsortedness'' in a sequence is the number of pairs of entries that a ...
    
			
    6. 
						
  6. unreal Script(US)一些注意事项
			
    转自:http://www.cnblogs.com/dongbo/archive/2012/07/10/2585311.html 1.如果计算量很大,考虑使用native Code来完成. 2.如果代 ...
    
			
    7. 
						
  7. ceph安装对象网关
			
    1.概述 安装3个网关节点分别是:controller-03.controller-04和controller-05,使用ceph gw自带的Civetweb提供服务,前端使用nginx作为前端代理. ...
    
			
    8. 
						
  8. msfvenom 摄像头
			
    4.13 莫名其妙的心情不好 又回到了那个不想打游戏不想聊天不想说话的日子. 不用想.vm——>kali 很早以前看过用msfvenom生成木马的文章.然后……然后我的浏览器就崩溃了.Firef ...
    
			
    9. 
						
  9. 集成hibernateDaoSupport实现增删改查
			
    1. package edu.jlu.fuliang.dao.impl; import java.util.List; import org.springframework.orm.hibernate ...
    
			
    10. 
						
  10. JNI初识
			
    JNI:Java Native Interface 的简写,是Java语言提供的一种通用接口,用于Java代码与本地化代码的交互. 所谓本地化代码是指直接编译成的与计算机相关的二进制代码,而非Java ...
    
			
    11.