1.通過MVC過濾器實現訪問授權
這塊兒,前面博文已經寫了,可參考:http://www.cnblogs.com/lcawen/p/6235735.html
public class BaseController : Controller { protected User UserInfo { set { Session["UserInfo"] = value; } get { if (Session["UserInfo"] == null) { return null; } else { return (User)Session["UserInfo"]; } } } protected override void OnActionExecuting(ActionExecutingContext filterContext) { //驗證碼 if (filterContext.ActionDescriptor.ActionName.Equals("ValidateCode", StringComparison.CurrentCultureIgnoreCase)) { return; } #region Session判斷 if (UserInfo==null && !filterContext.ActionDescriptor.ActionName.Contains("Login")) { filterContext.Result = //new RedirectResult("/Home/Login");//這樣也可以 new RedirectToRouteResult( new System.Web.Routing.RouteValueDictionary { { "controller", "Home" }, { "action", "Login" } }); //Response.Redirect("/Home/Login");//不建議這個,它會繼續往下執行action return; } #endregion base.OnActionExecuting(filterContext); } }
前台解決嵌套iframe問題(針對ActionResult返回頁面有效,用ajax請求無效)
<script type="text/javascript"> $(function () { //判斷一下當前是不是做頂層,如果不是,則做一下頂層頁面重定向 if (window != top) { top.location.href = location.href; } }); </script>
針對ajax請求,使用以上方式,ajax請求是沒有變化的,ajax返回的狀態碼302,而Login返回狀態碼200,理論是顯示的,但是:
Login的type是xhr即:XMLHttpRequest,正常訪問Login頁面時候Type為Document,如下:
補充:Ajax原生方法,有助於理解為什么是xhr類型:
$('#domID').click(function(){ //請求的5個階段,對應readyState的值 //0: 未初始化,send方法未調用; //1: 正在發送請求,send方法已調用; //2: 請求發送完畢,send方法執行完畢; //3: 正在解析響應內容; //4: 響應內容解析完畢; var data = 'name=value'; var xhr = new XMLHttpRequest(); //創建一個ajax對象 xhr.onreadystatechange = function(event){ //對ajax對象進行監聽 if(xhr.readyState == 4){ //4表示解析完畢 if(xhr.status == 200){ //200為正常返回 console.log(xhr) } } }; xhr.open('POST','url',true); //建立連接,參數一:發送方式,二:請求地址,三:是否異步,true為異步 xhr.setRequestHeader('Content-type','application/x-www-form-urlencoded'); //可有可無 xhr.send(data); //發送 });
知識積累不夠,底層原因並沒有分析出來,但是,可以通過如下方式解決這個問題:
參考:http://blog.csdn.net/weinianjie1/article/details/38270477
加入如下對ajax的擴展:
jQuery(function ($) { // 備份jquery的ajax方法 var _ajax = $.ajax; // 重寫ajax方法,先判斷登錄在執行error函數 $.ajax = function (opt) { var _error = opt && opt.error || function (a, b, c) { }; var _opt = $.extend(opt, { error: function (xhr, status, error) { // 如果后台將請求重定向到了登錄頁,則里面存放的就是登錄頁的源碼,這里需要找到是登錄頁的證據(標記) //這兒的{49cdd9d3-a473-4aef-8190-5dc5bf7b3984}是用Guid.NewGuid()生成的,是一個標識,可以隨意,但是Login頁面也要有 if (xhr.responseText.indexOf('{49cdd9d3-a473-4aef-8190-5dc5bf7b3984}') != -1) { top.location.href = "/Home/Login"; return; } _error(xhr, status, error); } }); _ajax(_opt); }; });
Login頁面放置標識:
<!DOCTYPE html> <!--{49cdd9d3-a473-4aef-8190-5dc5bf7b3984}--> <html>
ajax調用:
$.ajax({ type: "post", url: url, data: data, dataType: "json", success: function (data) { } });
好吧,又是一次一知半解的解決了問題...爭取下次弄明白原理后補充!
附:得到新思路,借鑒如下:http://stackoverflow.com/questions/26235528/how-to-implement-ajax-session-timeout-redirect-in-mvc和http://stackoverflow.com/questions/15001280/ajax-call-when-session-time-out
判斷當前請求是通過ajax請求否,如果是,返回session過期提醒,狀態碼可以返回200,也可以返回其他的,200的話在success中判斷,其他的狀態碼在error中判斷,由於這時候沒有跳轉到Login頁面,沒有去解析它,並且沒有把解析后的Login頁面文檔賦予給xhr的ResponseText,傳輸到前台,也節省了帶寬。問題解決思路有很多種啊,集思廣益。
MVC過濾器中加入如下代碼:
//ActionExecutingContext filterContext if (filterContext.HttpContext.Request.IsAjaxRequest()) { filterContext.HttpContext.Response.StatusCode = 401;//這個可以指定為其他的 filterContext.Result = new JsonResult { //Data = new //{ // ErrorMessage = "您長時間沒有操作,請重新登錄!" //}, //這樣使用,最終的結果判斷時,xhr.responseText為"{ErrorMessage:"您長時間沒有操作,請重新登錄!"}",還需要Json轉化一下 Data="您長時間沒有操作,請重新登錄!", JsonRequestBehavior = JsonRequestBehavior.AllowGet }; }
ajax方法擴展如下:
jQuery(function ($) { var _ajax = $.ajax; $.ajax = function (opt) { var _error = opt && opt.error || function (a, b, c) { }; var _opt = $.extend(opt, { error: function (xhr, status, error) { if (xhr.status == 401) {//status這里是error,因為是在相應中的401狀態位,所以需要用xhr.status判斷 warningInfo(xhr.responseText);//封裝的彈窗提醒 top.location.href = "/Home/Login";//跳轉到登錄頁面 return; } _error(xhr, status, error); } }); _ajax(_opt); }; });
如下是基於easyui的彈窗封裝:
//右下角彈出框; function slide(Title, Msg) { jQuery.messager.show({ title: Title, msg: Msg, timeout: 5000, showType: 'slide' }); } //彈出框; function alterInfo(Msg, Title) { if (!Title) { Title = "提示信息"; } jQuery.messager.alert(Title, Msg); } //錯誤彈出框; function errorInfo(Msg, Title) { if (!Title) { Title = "提示信息"; } jQuery.messager.alert(Title, Msg, 'error'); } //信息彈出框; function successInfo(Msg, Title) { if (!Title) { Title = "提示信息"; } jQuery.messager.alert(Title, Msg, 'info'); } //警告彈出框; function warningInfo(Msg, Title) { if (!Title) { Title = "提示信息"; } jQuery.messager.alert(Title, Msg, 'warning'); } //確認彈出框; function confirmInfo(Msg, fun, Title) { if (!Title) { Title = "提示信息"; } jQuery.messager.confirm(Title, Msg, function (event) { if (event == true) fun(); else return; }); } //可以輸入文本的對方框; function prompt() { jQuery.messager.prompt('提示:', '請輸入消息.', function (r) { if (r) { alert("你輸入的文本是:" + r); } }) }
mvc過濾器除了繼承一個基類Controller,還可以通過重寫過濾器實現,當然這些沒什么價值,個人留作回憶,如下:
[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method)]//目標為類或者方法,即Controller或者Action public class MyAuthorizeAttribute : AuthorizeAttribute { protected override void HandleUnauthorizedRequest(AuthorizationContext filterContext) { if (filterContext.HttpContext.Request.IsAjaxRequest()) { filterContext.HttpContext.Response.StatusCode = 401;//這個可以指定為其他的 filterContext.Result = new JsonResult { //Data = new //{ // ErrorMessage = "您長時間沒有操作,請重新登錄!" //}, //這樣使用,最終的結果判斷時,xhr.responseText為"{ErrorMessage:"您長時間沒有操作,請重新登錄!"}",還需要Json轉化一下 Data = "您長時間沒有操作,請重新登錄!", JsonRequestBehavior = JsonRequestBehavior.AllowGet }; filterContext.HttpContext.Response.End(); } else { filterContext.Result = //new RedirectResult("/Home/Login"); new RedirectToRouteResult( new System.Web.Routing.RouteValueDictionary { { "controller", "Home" }, { "action", "Login" } }); } //base.HandleUnauthorizedRequest(filterContext); } } [MyAuthorize]//Controller上用 public class MyController : Controller { [MyAuthorize]//Action上用 public ActionResult MyAction() { return new EmptyResult(); } }
還可以通過如下方式:
//Step 1 - Make central method(e.g. in Master page) $(document).ajaxStart(function () { $.ajax({ type: "POST", url: 'Home.aspx/CheckSessionTimeout', async: false, contentType: "application/json; charset=utf-8", dataType: "json", success: function(result) { if (parseInt(result.d) == 0) { window.location.href = 'Login.aspx'; } }, Error: function(msg) { window.location.href = 'Login.aspx'; } }); //Step 2 Create a web method in Home.aspx page [WebMethod(EnableSession = true)] public static int CheckSessionTimeout() { if (HttpContext.Current.Session[""] != null) { return 1; } else { return 0; } }
或者如下:
//使用jQuery的$.ajaxSetup方法可以設置AJAX請求的默認參數選項,當程序//中需要發起多個AJAX請求時,則不用再為每一個請求配置請求的參數。 //當用戶的session失效時可使用ajax請求時,可以使用這個函數進行判斷是否//要重新跳轉到登錄界面(系統的過濾器發現用戶ajax的請求,但用戶沒有登//錄或session失效時返回字符串”timeOut"): $.ajaxSetup({ dataFilter : function(data, type){ console.log("data:"+data); if(data == "timeOut" || data == "[object XMLDocument]"){//ajax請求,發現session過期,重新刷新頁面,跳轉到登錄頁面 top.location.href = "/Home/Login"; }else{ return data; } } })
或者如下:
$(document).ajaxError(function (event, jqxhr, settings, exception) { if (jqxhr.status === 401) { warningInfo(xhr.responseText); top.location.href = "/Home/Login"; } });
附:status 返回當前請求的http狀態碼
status屬性返回當前請求的http狀態碼,此屬性僅當數據發送並接收完畢后才可獲取。完整的HTTP狀態碼如下:
100 Continue 初始的請求已經接受,客戶應當繼續發送請求的其余部分 101 Switching Protocols 服務器將遵從客戶的請求轉換到另外一種協議 200 OK 一切正常,對GET和POST請求的應答文檔跟在后面。 201 Created 服務器已經創建了文檔,Location頭給出了它的URL。 202 Accepted 已經接受請求,但處理尚未完成。 203 Non-Authoritative Information 文檔已經正常地返回,但一些應答頭可能不正確,因為使用的是文檔的拷貝 204 No Content 沒有新文檔,瀏覽器應該繼續顯示原來的文檔。如果用戶定期地刷新頁面,而Servlet可以確定用戶文檔足夠新,這個狀態代碼是很有用的 205 Reset Content 沒有新的內容,但瀏覽器應該重置它所顯示的內容。用來強制瀏覽器清除表單輸入內容 206 Partial Content 客戶發送了一個帶有Range頭的GET請求,服務器完成了它 300 Multiple Choices 客戶請求的文檔可以在多個位置找到,這些位置已經在返回的文檔內列出。如果服務器要提出優先選擇,則應該在Location應答頭指明。 301 Moved Permanently 客戶請求的文檔在其他地方,新的URL在Location頭中給出,瀏覽器應該自動地訪問新的URL。 302 Found 類似於301,但新的URL應該被視為臨時性的替代,而不是永久性的。 303 See Other 類似於301/302,不同之處在於,如果原來的請求是POST,Location頭指定的重定向目標文檔應該通過GET提取 304 Not Modified 客戶端有緩沖的文檔並發出了一個條件性的請求(一般是提供If-Modified-Since頭表示客戶只想比指定日期更新的文檔)。服務器告訴客戶,原來緩沖的文檔還可以繼續使用。 305 Use Proxy 客戶請求的文檔應該通過Location頭所指明的代理服務器提取 307 Temporary Redirect 和302(Found)相同。許多瀏覽器會錯誤地響應302應答進行重定向,即使原來的請求是POST,即使它實際上只能在POST請求的應答是303時才能重定向。由於這個原因,HTTP 1.1新增了307,以便更加清除地區分幾個狀態代碼:當出現303應答時,瀏覽器可以跟隨重定向的GET和POST請求;如果是307應答,則瀏覽器只能跟隨對GET請求的重定向。 400 Bad Request 請求出現語法錯誤。 401 Unauthorized 客戶試圖未經授權訪問受密碼保護的頁面。應答中會包含一個WWW-Authenticate頭,瀏覽器據此顯示用戶名字/密碼對話框,然后在填寫合適的Authorization頭后再次發出請求。 403 Forbidden 資源不可用。 404 Not Found 無法找到指定位置的資源 405 Method Not Allowed 請求方法(GET、POST、HEAD、Delete、PUT、TRACE等)對指定的資源不適用。 406 Not Acceptable 指定的資源已經找到,但它的MIME類型和客戶在Accpet頭中所指定的不兼容 407 Proxy Authentication Required 類似於401,表示客戶必須先經過代理服務器的授權。 408 Request Timeout 在服務器許可的等待時間內,客戶一直沒有發出任何請求。客戶可以在以后重復同一請求。 409 Conflict 通常和PUT請求有關。由於請求和資源的當前狀態相沖突,因此請求不能成功。 410 Gone 所請求的文檔已經不再可用,而且服務器不知道應該重定向到哪一個地址。它和404的不同在於,返回407表示文檔永久地離開了指定的位置,而404表示由於未知的原因文檔不可用。 411 Length Required 服務器不能處理請求,除非客戶發送一個Content-Length頭 412 Precondition Failed 請求頭中指定的一些前提條件失敗 413 Request Entity Too Large 目標文檔的大小超過服務器當前願意處理的大小。如果服務器認為自己能夠稍后再處理該請求,則應該提供一個Retry-After頭 414 Request URI Too Long URI太長 416 Requested Range Not Satisfiable 服務器不能滿足客戶在請求中指定的Range頭 500 Internal Server Error 服務器遇到了意料不到的情況,不能完成客戶的請求 501 Not Implemented 服務器不支持實現請求所需要的功能。例如,客戶發出了一個服務器不支持的PUT請求 502 Bad Gateway 服務器作為網關或者代理時,為了完成請求訪問下一個服務器,但該服務器返回了非法的應答 503 Service Unavailable 服務器由於維護或者負載過重未能應答。例如,Servlet可能在數據庫連接池已滿的情況下返回503。服務器返回503時可以提供一個Retry-After頭 504 Gateway Timeout 由作為代理或網關的服務器使用,表示不能及時地從遠程服務器獲得應答 505 HTTP Version Not Supported 服務器不支持請求中所指明的HTTP版本
取自:http://www.cnblogs.com/gaojun/archive/2012/08/11/2633891.html
readyState狀態說明:
0:未初始化 此階段確認XMLHttpRequest對象是否創建,並為調用open()方法進行未初始化作好准備。值為0表示對象已經存在,否則瀏覽器會報錯--對象不存在。 1:載入 此階段對XMLHttpRequest對象進行初始化,即調用open()方法,根據參數(method,url,true)完成對象狀態的設置。並調用send()方法開始向服務端發送請求。值為1表示正在向服務端發送請求。 2:載入完成 此階段接收服務器端的響應數據。但獲得的還只是服務端響應的原始數據,並不能直接在客戶端使用。值為2表示已經接收完全部響應數據。並為下一階段對數據解析作好准備。 3:交互 此階段解析接收到的服務器端響應數據。即根據服務器端響應頭部返回的MIME類型把數據轉換成能通過responseBody、responseText或responseXML屬性存取的格式,為在客戶端調用作好准備。狀態3表示正在解析數據。 4:完成 此階段確認全部數據都已經解析為客戶端可用的格式,解析已經完成。值為4表示數據解析完畢,可以通過XMLHttpRequest對象的相應屬性取得數據。 概而括之,整個XMLHttpRequest對象的生命周期應該包含如下階段: 創建-初始化請求-發送請求-接收數據-解析數據-完成