[一步一步MVC]第二回：还是ActionFilter，实现对业务逻辑的统一Authorize处理 OnActionExecuting内如何获取参数

如何获取参数：http://www.cnblogs.com/anytao/archive/2009/04/23/anytao-mvc-02-actionauthorize.html

由问题引出

在ASP .NET MVC中，以友好的URL访问资源是MVC吸引眼球的特色之一，但是随之而来对于Authorize问题的处理变得令人令人头痛。例如假设我们有一个获取Book信息的Action，定义在BookController中：

public class BookController : Controller
{
    // Release : code01, 2009/04/22
    // Author  : Anytao, http://www.anytao.com
    public ActionResult Index(int id)
    {
        Book model = (new IBookService()).GetBook(id);

        return View(model);
    }
}

那么，我们可以通过http://anytao.net/Book/index/1，来访问id为1的Book（例如该书是《你必须知道的.NET》，哈哈，广告嫌疑）。在没有任何特别处理的情况下，对于该书的访问是“不设防”的。任何用户可以通过http://anytao.net/Book/index/1实现对《你必须知道的.NET》信息的访问。那么访问的资源如果是http://anytao.net/Secret/index/1，显然我的秘密无一例外的对外公开了。

言之此处，我们的问题已经明白无疑，那么应该如何处理呢？我们可以很容易的想到通过以下的方式进行处理：

// Release : code02, 2009/04/22
// Author  : Anytao, http://www.anytao.com
public ActionResult Index(int id)
{
    if (new IAuthorizeService().IsBookAuthorized(id, User.Identity.Name))
    {
        Book model = (new IBookService()).GetBook(id);

        return View(model);
    }
    else
    {
        return View("NotValid");
    }
}

显然，我通过IsBookAuthorized对GetBook服务的访问有效性进行控制，通过User的Name在数据库或者其他资源存储进行查找， 然后根据IsBookAuthorized结果进行是否访问的控制，显然不合法的用户将被导航到NotValid页，提示你是非法用户。

这种方式显然是最容易想到的办法，而且也广泛存在于我们实际的应用中，例如NerdDinner范例中也是通过这种方式进行Authorize控制处理的，例如：

[Authorize]
public ActionResult Edit(int id) {

    Dinner dinner = dinnerRepository.GetDinner(id);

    if (!dinner.IsHostedBy(User.Identity.Name))
        return View("InvalidOwner");

    return View(new DinnerFormViewModel(dinner));
}

然而这种方式存在或多或少的问题，例如：

• IsBookAuthorized将分散于不同的Action或者BLL层中，对于统一的Authorized管理带来问题。
• 实际的Authorized执行已经渗透到Action或者Serivce内部，我们更期待在Action调用之前对此已经进行了处理。

思考的瞬间

那么，统一的处理该如何着手实现更优雅的、更统一的Authorize处理呢？显然MVC自带的Authorize特性，为我们提供了可选择的思路：

[Authorize(Users = "Anytao")]
public ActionResult Edit(int id)
{
    return View();
}

Authorize标记通过对于Users或者Roles的定义，来对Edit Action的执行进行“预”Authorize授权，那么登陆用户为Anytao的用户才有权对BookController Edit进行访问，否则将无权访问。显然，这种方式对于满足我们

• 统一Authorize处理
• 在Action调用之前进行授权验证

的目标是统一的。所以，我们可以借助这种方式实现自定义的统一Authorize处理方案。

统一Authorize解决方案

有了指导方针，我们就可以有的放肆了，我们的方案同样是应用ActionFilter实现对Authorize处理，上次的范例是{[一步一步MVC]第四回：使用ActionSelector控制Action的选择}。显然我们可以在OnActionExecuting事件中对Action进行“预”处理，将关于Authorize的验证过程统一在OnActionExecuting中进行，就可以对标记的Action实现调用之前的过滤了，所以我们首先实现一个AuthorizeAttributeBase，例如：

// Release : code03, 2009/04/22
// Author  : Anytao, http://www.anytao.com
public abstract class AuthorizeAttributeBase : ActionFilterAttribute
{
    public AuthorizeAttributeBase()
    {
    }

    public AuthorizeAttributeBase(string key)
    {
        Key = key;
    }

    public override void OnActionExecuting(ActionExecutingContext filterContext)
    {

        // Authorize handler
    }

    public string Key { get; set; }

    protected abstract bool IsAuthorized(int id);
}

而具体的验证则在具体实现类中，例如我们对Book的验证：

// Release : code04, 2009/04/22
// Author  : Anytao, http://www.anytao.com
public class BookAuthorizeAttribute : AuthorizeAttributeBase
{
    protected override bool IsAuthorized(int id)
    {
        return (new IAuthorizeService()).IsBookAuthorized(id);
    }
}

对于验证的处理必须解决两方面的问题：

• 在AuthorizeAttributeBase中获取待过滤Action中的参数（Index(int id)），一般而言我们需要对id进行验证，那么传入id的值该如何处理。
• 在AuthorizeAttributeBase对于非法用户的处理，一般而言就是导航到NotValid页面。

在OnActionExecuting中获取Action参数

我们采用的方法是通过filterContext的ActionParameters来获取参数值，通过参数的Key来获取其值，例如：

if (filterContext.ActionParameters.ContainsKey(key))
{
    value = int.Parse(filterContext.ActionParameters[key].ToString());
}

在OnActionExecuting中导航到不同的View

这也是一个简单的处理，我们只要指定好filterContext的Result为指定的ViewResult即可实现我们的目标：

filterContext.Result = new ViewResult{
    ViewName = "NotValid"
};

解决了上述问题，就基本实现了对Authorize进行统一处理的目标，至于具体的Authorize逻辑，不同的业务可以在不同的业务层进行封装。例如对于Book资源的处理可以统一在IBookService中，对于User资源的处理可以统一在IUserService中（不过显然我们已经有了MVC自带的Authorize，不必重复），对于其他的资源也相应的处理在不同的业务层中。

下面是AuthorizeAttributeBase和BookAuthorizeAttribute的完整代码：

// Release : code03, 2009/04/22
// Author  : Anytao, http://www.anytao.com
public abstract class AuthorizeAttributeBase : ActionFilterAttribute
{
    public AuthorizeAttributeBase()
    {
    }

    public AuthorizeAttributeBase(string key)
    {
        Key = key;
    }

    public override void OnActionExecuting(ActionExecutingContext filterContext)
    {
        string key = string.IsNullOrEmpty(Key) ? "id" : Key;

        int id;

        if (filterContext.ActionParameters.ContainsKey(key))
        {
            if (!int.TryParse(filterContext.ActionParameters[key].ToString(), out id))
            {
                id = 0;
            }
        }
        else
        {
            id = 0;
        }

        if (id > 0)
        {
            if (IsAuthorized(id))
            {
                base.OnActionExecuting(filterContext);
            }
            else
            {
                filterContext.Result = new ViewResult{
                    ViewName = "NotValid"
                };

            }
        }
        else
        {
            filterContext.Result = new ViewResult{
                    ViewName = "NotValid"
                };
        }
    }

    public string Key { get; set; }

    protected abstract bool IsAuthorized(int id);
}

接下来就是如何应用了。

在Controller中应用统一Authorize处理

下面是我们的应用，还是对于http://anytao.net/Book/index/1的访问，我们可以像下面这样应用：

// Release : code05, 2009/04/22
// Author  : Anytao, http://www.anytao.com
[BookAuthorize(Key="id")]
public ActionResult Index(int id)
{
    Book model = (new IBookService()).GetBook(id);

    return View(model);
}

对比前后的两种方案，我想孰优孰劣显而易见。BookAuthorize显然以更优雅的方式实现了对于Authorize这回事儿的处理，也基本达到了原来的目标。我们的验证逻辑没有散落在系统四处，如何同时需要对Book的Index进行多个逻辑的验证，我们的方式也变得很简单，例如：

// Release : code05, 2009/04/22
// Author  : Anytao, http://www.anytao.com
[BookAuthorize(Key="id"), TaskAuthorize(Key="id")]
public ActionResult Index(int id)
{
    Book model = (new IBookService()).GetBook(id);

    return View(model);
}

不过，我们需要对id的复用进行一点思考，不过那已经是另外一回儿事儿了。对本文而言，我已经达到了目标。当然，这也许不是最好的方案，所以我期待您的更好方案，因为技术需要切磋和共享。

又是一个小技巧，希望给你帮助。

代码下载[anytao_mvc_actionauthorize]，更多关注，尽在anytao.net/blog