APS.NET MVC中(以下簡稱“MVC”)的每一個請求,都會分配給相應的控制器和對應的行為方法去處理,而在這些處理的前前后后如果想再加一些額外的邏輯處理。這時候就用到了過濾器。
MVC支持的過濾器類型有四種,分別是:Authorization(授權),Action(行為),Result(結果)和Exception(異常)。如下表,
| 過濾器類型 |
接口 |
描述 |
| Authorization |
IAuthorizationFilter |
此類型(或過濾器)用於限制進入控制器或控制器的某個行為方法 |
| Exception |
IExceptionFilter |
用於指定一個行為,這個被指定的行為處理某個行為方法或某個控制器里面拋出的異常 |
| Action |
IActionFilter |
用於進入行為之前或之后的處理 |
| Result |
IResultFilter |
用於返回結果的之前或之后的處理 |
但是默認實現它們的過濾器只有三種,分別是Authorize(授權),ActionFilter,HandleError(錯誤處理);各種信息如下表所示
| 過濾器 |
類名 |
實現接口 |
描述 |
| ActionFilter |
AuthorizeAttribute |
IAuthorizationFilter |
此類型(或過濾器)用於限制進入控制器或控制器的某個行為方法 |
| HandleError |
HandleErrorAttribute |
IExceptionFilter |
用於指定一個行為,這個被指定的行為處理某個行為方法或某個控制器里面拋出的異常 |
| 自定義 |
ActionFilterAttribute |
IActionFilter和IResultFilter |
用於進入行為之前或之后的處理或返回結果的之前或之后的處理 |
下面介紹的過濾器中,除了上面這幾種外,還多加一種過濾器OutputCache
1 授權過濾器Authorize
1.1 默認Authorize使用
現在在網上無論是要求身份驗證的地方多得是,發郵件,買東西,有時候就算吐個槽都要提示登錄的。這里的某些操作,就是要經過驗證授權才被允許。在MVC中可以利用Authorize來實現。例如一個簡單的修改密碼操作
[Authorize] public ActionResult ChangePassword() { return View(); }
它需要用戶通過了授權才能進入到這個行為方法里面,否則硬去請求那個頁面的話,只會得到這個結果
如果要通過驗證,通過調用FormsAuthentication.SetAuthCookie方法來獲得授權,登陸的頁面如下
@model FilterTest.Models.LogInModel @{ Layout = null; } <!DOCTYPE html> <html> <head> <title>Login</title> </head> <body> <div> @using( Html.BeginForm()){ <div> ID:@Html.TextBoxFor(m=>m.UserName) <br /> Password:@Html.PasswordFor(m => m.Password) <br /> <input type="submit" value="login" /> </div> } </div> </body> </html>
[HttpPost]//這里用了謂詞過濾器,只處理POST的請求 public ActionResult Login(LogInModel login) { if (login.UserName == "admin" && login.Password == "123456") { FormsAuthentication.SetAuthCookie(login.UserName, false); return Redirect("/Customer/ChangePassword"); } return View(); }
當然有登錄也要有注銷,因為注銷是在登陸之后發生的,沒登陸成功也就沒有注銷,所以注銷的行為方法也要加上Authorize過濾器,注銷調用的是FormsAuthentication.SignOut方法,代碼如下
[Authorize] public ActionResult LogOut() { FormsAuthentication.SignOut(); return Redirect("/Customer/Login"); }
1.2 自定義授權
我們不一定要用MVC默認的Authorize授權驗證規則,規則可以自己來定,自定義授權過濾器可以繼承AuthorizeAttribute這個類,這個類里面有兩個方法是要重寫的
- bool AuthorizeCore(HttpContextBase httpContext):這里主要是授權驗證的邏輯處理,返回true的則是通過授權,返回了false則不是。
- void HandleUnauthorizedRequest(AuthorizationContext filterContext):這個方法是處理授權失敗的事情。
這里就定義了一個比較騎呢的授權處理器,當請求的時候剛好是偶數分鍾的,就通過可以獲得授權,反之則不通過。當授權失敗的時候,就會跳轉到登陸頁面了。
public class MyAuthorizeAttribute:AuthorizeAttribute { protected override bool AuthorizeCore(HttpContextBase httpContext) { //return base.AuthorizeCore(httpContext); return DateTime.Now.Minute % 2 == 0 } protected override void HandleUnauthorizedRequest(AuthorizationContext filterContext) { filterContext.HttpContext.Response.Redirect("/Customer/Login"); //base.HandleUnauthorizedRequest(filterContext); } }
[MyAuthorize] public ActionResult ShowDetail() { return View(); }
自定義過濾器:
控制器代碼:
[CheckLogin] //此處為自定義屬性,要引用相應的命名空間 public ActionResult Index() { return View(); } public ActionResult Login() //此Action自動往cookie里寫入登錄信息 { HttpCookie hcUserName = new HttpCookie("username","admin"); HttpCookie hcPassWord = new HttpCookie("password","123456"); System.Web.HttpContext.Current.Response.SetCookie(hcUserName); System.Web.HttpContext.Current.Response.SetCookie(hcPassWord); return View(); }
過濾器代碼:
public class CheckLogin : ActionFilterAttribute { //在Action執行之前 亂了點,其實只是判斷Cookie用戶名密碼正不正確而已而已。 public override void OnActionExecuting(ActionExecutingContext filterContext) { HttpCookieCollection CookieCollect = System.Web.HttpContext.Current.Request.Cookies;if (CookieCollect["username"] == null || CookieCollect["password"] == null) { filterContext.Result = new RedirectResult("/Home/Login"); } else { if (CookieCollect["username"].Value != "admin" && CookieCollect["password"].Value != "123456") { filterContext.Result = new RedirectResult("/Home/Login"); } } } }
此過濾器實現的效果是,當用戶Cookie中用戶名和密碼不正確則跳轉到登錄頁,注意 過 濾器也可以放在整個Controller類的頂部,表示該Controller下的所有Action都執行該項檢查。 這樣一來,控制器里的代碼非常漂亮,再也不用所有的Action里都充斥着判斷登錄的代碼了。
全局過濾器
有時 我們想有些公共的方法需要 每個Action都執行,但是又不想再每一個Controller上都打上Action標簽,怎么辦?幸好Asp。Net MVC3帶來了一個美好的東 西,全局Filter。而怎么注冊全局Filter呢?答案就在Global.asax中。讓我們看以下代碼,我是如何將上面我們定義的 TestFilterAttribute 注冊到全局Filter中。
public static void RegisterGlobalFilters(GlobalFilterCollection filters) { filters.Add(new HandleErrorAttribute()); //注冊全局過濾器 filters.Add(new TestFilterAttribute() { Message="全局"}); }
這樣就每個Action都會執行此過濾器,而不必每個Controller頂部都加上標簽。