MVC自带的ActionFilter

在Asp.Net WebForm的中要做到身份认证微软为我们提供了三种方式,其中最常用的就是我们的Form认证,需要配置相应的信息。例如下面的配置信息: 

<authentication mode="Forms">

    <forms loginUrl="Login.aspx" defaultUrl="Default.aspx" protection="All" />

</authentication>

<authorization>

    <deny users="?"/>

    <allow users="*"/>

</authorization>

说明我们登录页面是Login.aspx,登录成功后的默认页面是Default.aspx,而我们用户信息采用验证和加密两种方式。而且最重要的 是我们要写好授权方式(下面的授权一定要写否则只说明使用Forms认证然后设置相关属性是没有用的),拒绝所有匿名用户,只有登录用户可以正常访问。这 样之后我们设置点击登录按钮将用户名写进cookie(也就是执行FormsAuthentication.SetAuthCookie(name, false);)就可以了。

在Asp.Net MVC中我们同样可以使用Forms认证,但是如果你按照WebForm中的做法去做就不行了。例如你这样配置信息:

<authentication mode="Forms">

    <forms loginUrl="~/Account/Login" defaultUrl="~/Home/Index" protection="All"/>

</authentication>

<authorization>

    <deny users="?"/>

    <allow users="*"/>

</authorization>

你在Login.aspx中设置登录来触发AccountController中的Logon来登录,其中Logon代码:

public ActionResult Logon(string name,string password)

{

    if (name == "jianxin160" && password == "160796")

    {

        FormsAuthentication.SetAuthCookie(name, false);

        return Redirect("~/Home/Index");

    }

    else

    {

        return Redirect("/");

    }

}

这样的操作之后你会发现你的Logon是不会执行的。原因是什么呢?怎么同样的设置为什么到了MVC中就不行了?原因就是二者机制不同,因为你设置的授权方式让Logon无法访问了。那么我们怎么来做呢?

其实在Asp.Net MVC中我们有更好的方式来做这一切,我们不需要授权方式,也就是说我们的配置信息像这样:

<authentication mode="Forms">

    <forms loginUrl="~/Account/Login" defaultUrl="~/Home/Index" protection="All"/>

</authentication>

不需要说明匿名用户不能登录等。当然了,你会发现仅仅就这样做肯定不行的我们还要换一种方式告诉系统哪些是需要登录才能访问的。你或许 想,o(︶︿︶)o 唉,那太麻烦了吧。其实不是这样的,很简单,我们只需要在需要认证的Action上标记[Authorize]就可以了。例如我在Home文件夹中有两个 页面Index和Home,我现在想让Index经过认证才能访问,而Home不需要,那么只需要给Index这个Action标记 [Authorize],也就是:

[Authorize]

public ActionResult Index()

{

    return View();

}    

public ActionResult Home()

{

    return View();

}

这样Index就必须登录之后才能访问,而Home是不需要登录的。如果你需要进行角色授权那么您就可以在标记Authorize的时候指明角色 (例如[Authorize(Role=Administrators)] ),不过您这是就必须使用微软给我们提供的Membership机制了,因为您的Role不可能是平白无故有的,而是存在于对应的数据库中的,这个我在另 一篇博客中提到过就不多说了。

自定义ActionFilter

有时候这样的认证或许您还不能够满足,或者说您觉得不够灵活,那么也没有关系,Asp.Net MVC是允许您自定义ActionFilter的。例如我现在自定义身份认证:

using System;

using System.Collections.Generic;

using System.Linq;

using System.Web;

using System.Web.Mvc;

using System.Web.Security;    

namespace FormFormsAuthenticationMvc

{

    public class RequiresAuthenticationAttribute:ActionFilterAttribute

    {

        public override void  OnActionExecuting(ActionExecutingContext filterContext)

        {

            if (!filterContext.HttpContext.User.Identity.IsAuthenticated)

            {

                string returnUrl = filterContext.HttpContext.Request.Url.AbsolutePath;

                string redirectUrl = string.Format("?ReturnUrl={0}", returnUrl);

                string loginUrl = FormsAuthentication.LoginUrl + redirectUrl;

                filterContext.HttpContext.Response.Redirect(loginUrl, true);

            }

        }

    }

}

如果需要进行用户管理,我再定义角色相关的Filter:

using System;

using System.Collections.Generic;

using System.Linq;

using System.Web;

using System.Web.Mvc;

using System.Web.Security;    

namespace MvcApplication1.MyClass

{

    public class RequiresRoleAttribute:ActionFilterAttribute

    {

        public string Role { get; set; }    

        public override void OnActionExecuting(ActionExecutingContext filterContext)

        {

            if (!string.IsNullOrEmpty(Role))

            {

                if (!filterContext.HttpContext.User.Identity.IsAuthenticated)

                {

                    string returnUrl = filterContext.HttpContext.Request.Url.AbsolutePath;

                    string redirectUrl = string.Format("?ReturnUrl={0}", returnUrl);

                    string loginUrl = FormsAuthentication.LoginUrl + redirectUrl;

                    filterContext.HttpContext.Response.Redirect(loginUrl, true);

                }

                else

                {

                    bool isAuthenticated = filterContext.HttpContext.User.IsInRole(Role);

                    if (!isAuthenticated)

                    {

                    throw new UnauthorizedAccessException("You have no right to view the page!");

                    }

                }

            }

            else

            {

                throw new InvalidOperationException("No Role Specified!");

            }

        }

    }

}

其实您会发现上面两个Attribute其实MVC自带的Authorized已经解决了,这里主要告诉大家如果有需要您是可以扩展的。

好了,今天就到这里吧!源代码下载:FormFormsAuthenticationMvc

ASP.NET MVC 建立 ASP.NET 基础之上,很多 ASP.NET 的特性(如窗体身份验证、成员资格)在 MVC 中可以直接使用。本文旨在提供可参考的代码,不会涉及这方面太多理论的知识。

本文仅使用 ASP.NET 的窗体身份验证,不会使用它的 成员资格(Membership) 和 角色管理 (RoleManager),原因有二:一是不灵活,二是和 MVC 关系不太。

一、示例项目

User.cs 是模型文件,其中包含了 User 类:

public class User

{

    public int ID { get; set; }

    public string Name { get; set; }

    public string Password { get; set; }

    public string[] Roles { get; set;  }

}

UserRepository 为数据存取类,为了演示方便,并没有连接数据库,而是使用一个数组来作为数据源:

public class UserRepository

{

    private static User[] usersForTest = new[]{

        new User{ ID = 1, Name = "bob", Password = "bob", Roles = new []{"employee"}},

        new User{ ID = 2, Name = "tom", Password = "tom", Roles = new []{"manager"}},

        new User{ ID = 3, Name = "admin", Password = "admin", Roles = new[]{"admin"}},

    };

    public bool ValidateUser(string userName, string password)

    {

        return usersForTest

            .Any(u => u.Name == userName && u.Password == password);

    }

    public string[] GetRoles(string userName)

    {

        return usersForTest

            .Where(u => u.Name == userName)

            .Select(u => u.Roles)

            .FirstOrDefault();

    }

    public User GetByNameAndPassword(string name, string password)

    {

        return usersForTest

            .FirstOrDefault(u => u.Name == name && u.Password == password);

    }

}

二、用户登录及身份验证

方式一

修改 AccountController:原有 AccountController 为了实现控制反转,对窗体身份验证进行了抽象。为了演示方便,我去除了这部分(以及注册及修改密码部分):

public class AccountController : Controller

{

    private UserRepository repository = new UserRepository();

    public ActionResult LogOn()

    {

        return View();

    }

    [HttpPost]

    public ActionResult LogOn(LogOnModel model, string returnUrl)

    {

        if (ModelState.IsValid)

        {

            if (repository.ValidateUser(model.UserName, model.Password))

            {

                FormsAuthentication.SetAuthCookie(model.UserName, model.RememberMe);

                if (!String.IsNullOrEmpty(returnUrl)) return Redirect(returnUrl);

                else return RedirectToAction("Index", "Home");

            }

            else

                ModelState.AddModelError("", "用户名或密码不正确!");

        }

        return View(model);

    }

    public ActionResult LogOff()

    {

        FormsAuthentication.SignOut();

        return RedirectToAction("Index", "Home");

    }

}

修改 Global.asax:

public class MvcApplication : System.Web.HttpApplication

{

    public MvcApplication()

    {

        AuthorizeRequest += new EventHandler(MvcApplication_AuthorizeRequest);

    }

    void MvcApplication_AuthorizeRequest(object sender, EventArgs e)

    {

        IIdentity id = Context.User.Identity;

        if (id.IsAuthenticated)

        {

            var roles = new UserRepository().GetRoles(id.Name);

            Context.User = new GenericPrincipal(id, roles);

        }

    }

    //...

}

给 MvcApplication 增加构造函数,在其中增加 AuthorizeRequest 事件的处理函数。

代码下载:Mvc-FormsAuthentication-RolesAuthorization-1.rar (243KB)

方式二

此方式将用户的角色保存至用户 Cookie,使用到了 FormsAuthenticationTicket。

修改 AccountController:

public class AccountController : Controller

{

    private UserRepository repository = new UserRepository();

    public ActionResult LogOn()

    {

        return View();

    }

    [HttpPost]

    public ActionResult LogOn(LogOnModel model, string returnUrl)

    {

        if (ModelState.IsValid)

        {

            User user = repository.GetByNameAndPassword(model.UserName, model.Password);

            if (user != null)

            {

                FormsAuthenticationTicket ticket = new FormsAuthenticationTicket(

                    1,

                    user.Name,

                    DateTime.Now,

                    DateTime.Now.Add(FormsAuthentication.Timeout),

                    model.RememberMe,

                    user.Roles.Aggregate((i,j)=>i+","+j)

                    );

                HttpCookie cookie = new HttpCookie(

                    FormsAuthentication.FormsCookieName,

                    FormsAuthentication.Encrypt(ticket));

                Response.Cookies.Add(cookie);

                if (!String.IsNullOrEmpty(returnUrl)) return Redirect(returnUrl);

                else return RedirectToAction("Index", "Home");

            }

            else

                ModelState.AddModelError("", "用户名或密码不正确!");

        }

        return View(model);

    }

    public ActionResult LogOff()

    {

        FormsAuthentication.SignOut();

        return RedirectToAction("Index", "Home");

    }

}

修改 Global.asax:

public class MvcApplication : System.Web.HttpApplication

{

    public MvcApplication()

    {

        AuthorizeRequest += new EventHandler(MvcApplication_AuthorizeRequest);

    }

    void MvcApplication_AuthorizeRequest(object sender, EventArgs e)

    {

        var id = Context.User.Identity as FormsIdentity;

        if (id != null && id.IsAuthenticated)

        {

            var roles = id.Ticket.UserData.Split(',');

            Context.User = new GenericPrincipal(id, roles);

        }

    }

    //...

}

代码下载:Mvc-FormsAuthentication-RolesAuthorization-2.rar (244KB)

三、角色权限

使用任一种方式后,我们就可以在 Controller 中使用 AuthorizeAttribute 实现基于角色的权限管理了:

[Authorize(Roles = "employee,manager")]

public ActionResult Index1()

{

    return View();

}

[Authorize(Roles = "manager")]

public ActionResult Index2()

{

    return View();

}

[Authorize(Users="admin", Roles = "admin")]

public ActionResult Index3()

{

    return View();

}

四、简要说明

MVC 使用 HttpContext.User 属性进行来进行实现身份验证及角色管理,同样 AuthorizeAttribute 也根据 HttpContext.User 进行角色权限验证。

因些不要在用户登录后,将相关用户信息保存在 Session 中(网上经常看到这种做法),将用户保存在 Session 中是一种非常不好的做法。

也不要在 Action 中进行角色权限判断,应该使用 AuthorizeAttribute 或它的子类,以下的方式都是错误的:

public ActionResult Action1()

{

    if (Session["User"] == null) { /**/}

    /**/

}

public ActionResult Action2()

{

    if (User.Identity == null) { /**/}

    if (User.Identity.IsAuthenticated == false) { /**/}

    if (User.IsInRole("admin") == false) { /**/}

    /**/

}

MVC身份验证及权限管理的更多相关文章

  1. MVC身份验证及权限管理(转载)

    from https://www.cnblogs.com/asks/p/4372783.html MVC自带的ActionFilter 在Asp.Net WebForm的中要做到身份认证微软为我们提供 ...

  2. (转) MVC身份验证及权限管理-2

    转自:http://www.cnblogs.com/ldp615/archive/2010/10/27/asp-net-mvc-forms-authentication-roles-authoriza ...

  3. (转) MVC身份验证及权限管理-1

    转自:http://blog.csdn.net/kenshincui/article/details/5559508 MVC自带的ActionFilter 在Asp.Net WebForm的中要做到身 ...

  4. mvc5+ef6+Bootstrap 项目心得--身份验证和权限管理

    1.mvc5+ef6+Bootstrap 项目心得--创立之初 2.mvc5+ef6+Bootstrap 项目心得--身份验证和权限管理 3.mvc5+ef6+Bootstrap 项目心得--WebG ...

  5. [转]mvc5+ef6+Bootstrap 项目心得--身份验证和权限管理

    本文转自:http://www.cnblogs.com/shootingstar/p/5629668.html 1.mvc5+ef6+Bootstrap 项目心得--创立之初 2.mvc5+ef6+B ...

  6. MVC自定义AuthorizeAttribute实现权限管理

    [转]MVC自定义AuthorizeAttribute实现权限管理 原文载自:小飞的DD http://www.cnblogs.com/feiDD/articles/2844447.html 网站的权 ...

  7. Asp.Net MVC 身份验证-Forms

    Asp.Net MVC 身份验证-Forms 在MVC中对于需要登录才可以访问的页面,只需要在对应的Controller或Action上添加特性[Authorize]就可以限制非登录用户访问该页面.那 ...

  8. [转]Asp.Net大型项目实践(11)-基于MVC Action粒度的权限管理【续】【源码在这里】(在线demo,全部源码)

    本文转自:http://www.cnblogs.com/legendxian/archive/2010/01/25/1655551.html 接上篇Asp.Net大型项目实践(10)-基于MVC Ac ...

  9. MVC身份验证.MVC过滤器.MVC6关键字Task,Async.前端模拟表单验证,提交.自定义匿名集合.Edge导出到Excel.BootstrapTree树状菜单的全选和反选.bootstrap可搜索可多选可全选下拉框

    1.MVC身份验证. 有两种方式.一个是传统的所有控制器继承自定义Control,然后再里面用MVC的过滤器拦截.所以每次网站的后台被访问时.就会先走入拦截器.进行前端和后端的验证 一个是利用(MVC ...

随机推荐

  1. oracle REPLACE 函数 介绍

    oracle REPLACE 函数是用另外一个值来替代串中的某个值. 例如,可以用一个匹配数字来替代字母的每一次出现.REPLACE 的格式如下所示: REPLACE ( char, search_s ...

  2. 搜狗输入法皮肤安装 分类: windows常用小技巧 2014-05-04 15:10 172人阅读 评论(0) 收藏

    第一步: 下载皮肤,皮肤是.ssf格式的. 第二步: 找到安装目录:(以我的为例) D:\软件\搜狗输入法\SogouInput\7.1.0.1652\AllSkin: 把下载的皮肤剪切(或复制)到此 ...

  3. MySQL 基础(DDL)

    SQL分类         SQL语句主要可以划分为一下3个类别      DDL:数据定义语言,定义数据段.数据库.数据表等      DML :数据操纵语句,用于添加.删除.更新和查询数据库记录 ...

  4. SQL语法集锦一:SQL语句实现表的横向聚合

    本文转载:http://www.cnblogs.com/lxblog/archive/2012/09/29/2708128.html 问题描述:假如有一表结构和数据如下: C1 C2 C3 C4 C5 ...

  5. 给考研计划报考“管理学科学与project”方向大学生的建议(大二阶段)

    [来信]丁老师: 你好.在做学习计划前能了解到PDCA循环,着实感到受益匪浅. 这一理念不仅适用于质量管理体系.也适用于一切循序渐进的管理工作. 了解PDCA循环后.对此次学习计划的制定起到一定的导向 ...

  6. Android 图标上面添加提醒(一)使用Canvas绘制

    版权声明:本文为博主原创文章,未经博主允许不得转载. 在我们开发一些如通讯录.社交等应用或者应用添加新功能模块时,会考虑在对应的图标上加上未读信息的数量,或者是新功能提醒的图标,这样不占太大空间还能达 ...

  7. IDL计算儒略日

    遥感数据还有一些文章中使用数据的时候,经常使用儒略日(Julian day),即计算该天是一年中的第几天.正好有时间,就用IDL写了段儿小代码,方便使用.   ;+   ; :Author: caoz ...

  8. java io 流基础

  9. 10.24 noip模拟试题

    尼玛pdf依旧不会粘23333 /* 每段合并到总的里面 假设总的有X个 这一段有Y个 一共有X+1个空 那么就有 C(X+1,1)+C(X+1,2)+C(X+1,3)+...+C(X+1,Y) 这样 ...

  10. linux 简单命令

    很久没有接触linux了,很多命令也忘记了,现在自己独立安装一个linux,独立安装LAMP,让自己记录下来这段. 怎么进入命令行 init 3, 回到桌面 init 5在不是root用户情况下,切换 ...