一、過濾器簡介
1.1、理解什么是過濾器
1、過濾器(Filters)就是向請求處理管道中注入額外的邏輯。提供了一個簡單而優雅的方式來實現橫切關注點。
2、所謂的過濾器(Filters),MVC框架里面的過濾器完全不同於ASP.NET平台里面的Request.Filters和Response.Filter對象,它們主要是實現請求和響應流的傳輸。通常我們所說的過濾器是指MVC框架里面的過濾器。
3、過濾器可以注入一些代碼邏輯到請求處理管道中,是基於C#的Attribute的實現。當負責調用Action的類ControllerActionInvoker在調用執行Action的時候會檢查Action上面的Attribute並查看這些Attribute是否實現了指定的接口,以便進行額外的代碼注入處理
1.2、理解為什么要使用過濾器
假設你做了一個小項目,其中某個功能是操作管理用戶信息模塊,有這樣一個需求,對用戶信息管理必須是已通過認證的用戶才能操作,我們可以在每一個Action方法里面檢查認證請求,如下所示:
1 using MvcFilterDmo.Core; 2 using System; 3 using System.Collections.Generic; 4 using System.Linq; 5 using System.Web; 6 using System.Web.Mvc; 7 using System.Web.Security; 8 9 namespace MvcFilterDmo.Controllers 10 { 11 public class HomeController : Controller 12 { 13 public ActionResult Index() 14 { 15 if (!Request.IsAuthenticated) 16 { 17 FormsAuthentication.RedirectToLoginPage(); 18 } 19 //操作部分... 20 return View(); 21 } 22 public ActionResult Insert() 23 { 24 if (!Request.IsAuthenticated) 25 { 26 FormsAuthentication.RedirectToLoginPage(); 27 } 28 //操作部分... 29 return View(); 30 } 31 public ActionResult Update() 32 { 33 if (!Request.IsAuthenticated) 34 { 35 FormsAuthentication.RedirectToLoginPage(); 36 } 37 //操作部分... 38 return View(); 39 } 40 public ActionResult Delete() 41 { 42 if (!Request.IsAuthenticated) 43 { 44 FormsAuthentication.RedirectToLoginPage(); 45 } 46 //操作部分... 47 return View(); 48 } 49 //其他Action操作方法 50 //... 51 } 52 }
通過上面的代碼,可以發現使用這種方式檢查請求認證有許多重復的地方,這也就是為什么要使用過濾器的原因,使用過濾器可以實現相同的效果。如下所示:
1 using MvcFilterDmo.Core; 2 using System; 3 using System.Collections.Generic; 4 using System.Linq; 5 using System.Web; 6 using System.Web.Mvc; 7 using System.Web.Security; 8 9 namespace MvcFilterDmo.Controllers 10 { 11 [Authorize] 12 public class HomeController : Controller 13 { 14 public ActionResult Index() 15 { 16 //操作部分... 17 return View(); 18 } 19 public ActionResult Insert() 20 { 21 //操作部分... 22 return View(); 23 } 24 public ActionResult Edit() 25 { 26 //操作部分... 27 return View(); 28 } 29 public ActionResult Delete() 30 { 31 //操作部分... 32 return View(); 33 } 34 //其他Action操作方法 35 //... 36 } 37 }
過濾器是.NET里面的特性(Attributes),它提供了添加到請求處理管道的額外方法。這里使用Authorize過濾器可以實現同樣的效果,不過代碼就顯然比之前更加簡潔優雅。
二、過濾器的使用
2.1、基本類型的過濾器
過濾器實現的機制:在MVC框架調用一個Action之前,它會檢查方法的定義中是否實現了特性(Attributes),如果實現的話,那么在請求處理管道適當的位置,該特性定義的方法會被調用。
ActionFilterAttribute類既實現了IactionFilter接口,也實現IResultFilter接口。這是一個抽象類,它要求你必須提供一個實現。AuthorizeAttribute和HandleErrorAttribute類,則包含了一些有用的特性,並且可以不必創建派生類進行使用。
2.2、過濾器的應用、應用方式以及執行順序
應用: 過濾器可以被應用到控制器上也可以用到Action方法上,應用到控制上時,表示所有的Action方法都有了這個過濾器,並且可以混合使用,或多次使用,如下所示:
1 [A] //表示所有的Action方法都會應用A過濾器 2 Public class DemoController:Controller 3 { 4 [B]//B,C過濾器只作用於此Action方法,但它也會有A過濾器的應用效果 5 [C] 6 Public ActionResult Index() 7 { 8 //操作部分... 9 return View(); 10 } 11 }
應用方式:特性的方式,如上面代碼所示。
執行順序:相同類型過濾器,執行順序靠近方法的先執行,不同類型的過濾器一般執行順序為【authorize--->action--->actionResult】至於異常過濾器不分先后,只要拋出異常時就會執行異常過濾器。如果要調整執行順序,可以通過調整Order方法值大小來控制執行順序,值越小,越先執行。下圖是Action/Result過濾器應用的執行順序圖
(1)、相同類型過濾器應用示例:兩個自定義Action過濾器MyFirstFilter,MyThreeFilter應用到同一個Action方法Index上。
Three控制器代碼如下:
MyFirstFilter 代碼如下:
MyThreeFilter代碼如下:
運行結果如下:
(2)、不同類型過濾器應用示例:有一個自定義Action過濾器MyFirstFilter,有一個自定義Result過濾器MySecondFilter,應用到同一個Action方法Index上。
Three控制器代碼如下:
MyFirstFilter 代碼如下:
MySecondFilter代碼如下:
運行結果如下:
看完上面的解釋,可能你現在對這些過濾器的執行順序,以及如何自定義過濾器還不明白,不要緊,下面我們會逐一介紹這幾個基本的過濾器的使用,以及如何自定義過濾器。
2.3、使用授權過濾器
所有實現了IAuthorizationFilter接口的都可以稱之為授權過濾器:其定義如下:
1 public interface IAuthorizationFilter 2 { 3 void OnAuthorization(AuthorizationContext filterContext); 4 }
由於MVC框架系統自帶的AuthorizeAttribute實現有一些突出的功能,而這種牽涉到安全的代碼一定要謹慎的編寫,所以一般我們不會直接實現這個接口,而是去繼承AuthorizeAttribute這個類,並重寫其AuthorizeCore方法,簽名為: bool AuthorizeCore(HttpContextBase httpContext) 而處理授權失敗的時候,可以重寫其HandleUnauthorizedRequest方法,其簽名為: void HandleUnauthorizedRequest(AuthorizationContext context) 。注意:驗證與授權是兩回事,驗證發生在授權之前。
默認的授權過濾器已經有了驗證的功能,其驗證的機理是利用Asp.net平台自帶的驗證機制,如表單驗證和Windows驗證。除了驗證功能,它本身還有授權的功能。授權過濾器是所有過濾器中最早運行的。
經過Route到達了控制器的時候,在調用Action之前,MVC框架會檢測在相關的Action上是否有授權過濾器,如果有會調用OnAuthorization方法,如果此方法批准了請求,才會調用相應的Action。
使用授權過濾器幾種情況如下:
1.直接在Action上或者控制器上加Authorize,表示啟用了驗證,但不牽涉到授權。
2.添加Authorize(Users=“a,b”)],表示啟用了驗證,並且也啟用了授權,只有a或者b用戶能訪問此控制器。
3.當添加Authorize(Roles=“admin,Member”)]時的步驟如下:
---利用asp.net自帶的角色提供者,或者實現自己的角色提供者,實現自己的角色提供者時,只需要集成RoleProvider類型,並實現其中的所有方法或部分方法,最好實現所有方法。
---在Web程序的根目錄的Web.config文件中配置角色管理者。
---在適當的Action中利用Roles類型來訪問自己創建的RoleProvider中的相關方法。
使用內置的授權過濾器
MVC框架內置的授權過濾器AuthorizeAttribute,它允許我們使用這個類的兩個公共屬性來指定授權策略,如下所示:
Users和Roles兩者是並且的關系,例如Users=“a,b,c”,Roles=“admin”,表示用戶是a,b,c 其中一個並且是Admin角色才能訪問。
創建自定義的授權過濾器
方式一:直接實現IAuthorizationFilter接口,但不推薦這樣做,因為牽涉到安全方面的代碼。
方式二:繼承AuthorizeAttribute這個類,並重寫其AuthorizeCore方法,簽名為: bool AuthorizeCore(HttpContextBase httpContext),代碼如下所示:
1 public class MyAuthorizeAttribute : AuthorizeAttribute 2 { 3 private string[] allowedUsers; 4 public MyAuthorizeAttribute(params string[] users) 5 { 6 allowedUsers = new string[] { "admin", "user1", "xf" }; 7 } 8 9 protected override bool AuthorizeCore(HttpContextBase httpContext) 10 { 11 return httpContext.Request.IsAuthenticated &&allowedUsers.Contains(httpContext.User.Identity.Name, 12 StringComparer.InvariantCultureIgnoreCase); 13 } 14 }
2.4、使用動作過濾器
動作過濾器是可以以用於任何目的的多用途過濾器,創建自定義動作過濾器需要實現IActionFilter接口,該接口代碼如下所示:
該接口定義了兩個方法,MVC框架在調用動作方法之前,會調用OnActionExecting方法。在調用動作方法之后,則會調用OnActionExecuted方法。
實現OnActionExecting方法
參數ActionExecutingContext對象繼承於ControllerContext,其中的2個屬性:
ActionDescriptor:提供了關於Action方法的相關信息
Result:類型為ActionResult,通過給這個屬性設置一個非null的值就可以取消這個請求。
我們可以用過濾器來取消一個請求,通過設置Result屬性即可。代碼如下所示:
1 public class MyActionFilterAttribute : FilterAttribute, IActionFilter 2 { 3 public void OnActionExecuting(ActionExecutingContext filterContext) 4 { 5 if(filterContext.HttpContext.Request.IsLocal) 6 { 7 filterContext.Result = new HttpNotFoundResult(); 8 } 9 } 10 public void OnActionExecuted(ActionExecutedContext filterContext) 11 { 12 //未做實現 13 } 14 }
這個例子通過用OnActionExecuting方法檢查請求是否來自本地機器,如果是,編隊用戶返回一個“404”未找到的響應。運行結果如下圖:
實現OnActionExecuted方法
我們也可以通過OnActionExecuted方法來執行一些跨越動作方法的任務,下面這個例子是計算動作方法運行的時間,代碼如下:
1 public class MyActionFilterAttribute : FilterAttribute, IActionFilter 2 { 3 private Stopwatch timer; 4 public void OnActionExecuting(ActionExecutingContext filterContext) 5 { 6 timer = Stopwatch.StartNew(); 7 } 8 public void OnActionExecuted(ActionExecutedContext filterContext) 9 { 10 timer.Stop(); 11 if (filterContext.Exception == null) 12 { 13 filterContext.HttpContext.Response.Write( 14 string.Format("動作方法延遲的時間: {0}", 15 timer.Elapsed.TotalSeconds)); 16 } 17 } 18 } 19 }
我們將自定義的動作過濾器MyActionFilter應用到HomeController的Index方法上,運行結果如下:
2.5、使用結果過濾器
結果過濾器是多用途的過濾器,他會對動作方法所產生結果進行操作,結果過濾器實現IResultFilter接口,創建自定義結果過濾器需要現IResultFilter接口,該接口代碼如下所示:
當結果過濾器運用於一個動作方法時,會在動作方法返回動作結果之前,調用OnResultExecuting方法,在返回動作結果之后,會調用OnResultExecuted方法。下面這個例子是計算動作方法返回結果運行的時間,代碼如下:
1 public class MyResultFilterAttribute : FilterAttribute, IResultFilter 2 { 3 private Stopwatch timer; 4 public void OnResultExecuting(ResultExecutingContext filterContext) 5 { 6 timer = Stopwatch.StartNew(); 7 } 8 public void OnResultExecuted(ResultExecutedContext filterContext) 9 { 10 timer.Stop(); 11 filterContext.HttpContext.Response.Write(string.Format("結果執行延遲時間: {0}", timer.Elapsed.TotalSeconds)); 12 } 13 }
我們將自定義的結果過濾器MyResultFilter應用到HomeController的Index方法上,運行結果如下:
需要注意的是:動作過濾器是運行在頁面輸出之前,結果過濾器是運行在頁面輸出之后。
2.6、使用異常過濾器
異常過濾器只有在調用一個動作方法而拋出未處理的異常才會運行,這種異常來自以下位置:
A、另一種過濾器(授權、動作、或結果過濾器)。
B、動作方法本身。
C、當動作結果被執行時。
使用內置的異常過濾器
HandleErrorAttribute(處理程序錯誤特性),它是MVC內嵌的異常過濾器,有以下3個重要的屬性:
1.ExceptionType:類型為Type,表示希望被此過濾器處理的異常類型,包括其子類型,默認值為System.Exception
2.View:類型為string,表示此過濾器呈遞的視圖頁面,默認值為Error
3.Master:呈遞的視圖頁的母板頁,如果不指定,視圖會用其默認的母版頁
內嵌的HandleErrorException只有在配置文件Web.config中配置的CustomError 的mode設置為on的時候才生效(其默認模式為RemoteOnly),如下圖所示:
此過濾器還會給視圖傳遞一個HandleErrorInfo類型的對象給視圖,以便視圖可以顯示一些額外的關於錯誤的信息。下面是使用異常過濾器的示例。
應用到Index動作方法上:
在Views/Shared文件夾下添加一個顯示異常信息的視圖頁SpecialError.cshtml,頁面代碼如下:
1 @model HandleErrorInfo 2 <!DOCTYPE html> 3 <html> 4 <head> 5 <meta name="viewport" content="width=device-width" /> 6 <title>SpecialError</title> 7 </head> 8 <body> 9 <div> 10 <p> 11 There was a<b>@Model.Exception.GetType().Name</b> 12 while rendering<b>@Model.ControllerName</b>'s 13 <b>@Model.ActionName</b> action 14 </p> 15 </div> 16 </body> 17 </html>
運行結果如下:
創建自定義的異常過濾器
如果我們對異常過濾器有特殊的需求,可以通過自定義的異常過濾器來完成,創建自定義異常過濾器必須實現IExceptionFilter接口,該接口代碼如下:
當一個未知處理異常發生時,OnException方法會被調用。該方法的傳遞一個ExceptionContext對象,派生於ControllerContext類,定義了一些額外的過濾器專有屬性如下表所示:
拋出的異常通過Exception屬性是可以訪問的。通過把ExceptionHandled屬性設置為true,一個異常過濾器可以報告它已經處理了該異常,應用於一個動作的所有異常過濾器都會被調用。
需要注意的是:如果一個動作方法的所有異常過濾器均為把ExceptionHandled屬性設置為true,MVC框架將使用默認的ASP.NET異常處理程序。
Result屬性有異常過濾器使用,以告訴MVC框架要做什么,異常過濾器的兩個主要應用是記錄該異常到日志,並把適當的消息顯示給用戶。下面的代碼將演示通過創建一個自定義的異常過濾器,當一個特定的鍾類的未處理異常出現時,把該用戶重定向到一個指定的錯誤頁面。
1 public class MyExectionAttribute:FilterAttribute,IExceptionFilter 2 { 3 public void OnException(ExceptionContext filterContext) 4 { 5 if(!filterContext.ExceptionHandled&& 6 filterContext.Exception is NullReferenceException) 7 { 8 filterContext.Result = new RedirectResult("~/Content/SpecialErrorPage.html"); 9 filterContext.ExceptionHandled = true; 10 } 11 } 12 }
然后在項目根目錄添加一個名為Content的文件夾,在該文件夾下創建SpeciErrorPage.html文件,當異常被處理時,將以這個錯誤頁面顯示個用戶。該頁面代碼如下:
1 <!DOCTYPE html> 2 <html xmlns="http://www.w3.org/1999/xhtml"> 3 <head> 4 <meta http-equiv="Content-Type" content="text/html; charset=utf-8"/> 5 <title></title> 6 </head> 7 <body> 8 <h1>Sorry</h1> 9 <p>this is a Excetption test</p> 10 There was aNullReferenceException while renderingHome's Index action 11 </body> 12 </html>
在控制器中應用MyExection異常過濾器,並主動讓其拋出一個空引用異常,以便測試。
1 public class HomeController : Controller 2 { 3 [MyExection] 4 public ActionResult Index() 5 { 6 throw new NullReferenceException(); 7 } 8 }
運行結果如下:
總結:本文章簡單總結了對過濾器的理解以及如何使用MVC框架內置基本的過濾器和如何自定義過濾器及應用。