一、過濾器
過濾器(Filter)的出現使得我們可以在ASP.NET MVC程序里更好的控制瀏覽器請求過來的URL,並不是每個請求都會響應內容,只有那些有特定權限的用戶才能響應特定的內容。過濾器理論上有以下功能:
- 判斷登錄與否或者用戶權限。
- 決策輸出緩存。
- 防盜鏈。
- 防蜘蛛。
- 本地化與國際化設置。
- 實現動態Action(做權限管理系統經常用到)。
1、使用方式一
第一種方法是在Controller或Action上面直接使用Authorize特性,不設置特性的任何屬性。看下面的截圖:
從上面的截圖中可以看出:第一個名為Index的Action方法是沒有過濾的,任何身份的請求都可以通過。只需要在瀏覽器的URL地址欄里面輸入:http://localhost:**/Admin/Index就能得到對應的視圖響應,效果如下:
而第二個名為Welcome的Action方法上面使用了Authorize特性,表示這是一個只處理那些通過身份驗證的URL的請求,頁面請求效果如下:
這時可以看到報錯了:提示只有通過身份驗證的用戶才能訪問請求所需的資源。
這種報錯頁面很不友好,一般這種情況都是跳轉到登錄頁面讓用戶進行登錄,所以對程序進行如下的改造。
1.1、添加登錄頁面
新建Account控制器,並新建兩個Action方法,代碼如下:
using MVCAuthorizeFilterDemo.Models; using System; using System.Collections.Generic; using System.Linq; using System.Web; using System.Web.Mvc; using System.Web.Security; namespace MVCAuthorizeFilterDemo.Controllers { public class AccountController : Controller { // GET: Account public ActionResult Index() { return View(); } /// <summary> /// 顯示登錄視圖 /// </summary> /// <returns></returns> public ActionResult LogOn() { LogOnViewModel model = new LogOnViewModel(); return View(model); } /// <summary> /// 處理用戶點擊登錄提交回發的表單 /// </summary> /// <param name="model"></param> /// <returns></returns> [HttpPost] public ActionResult LogOn(LogOnViewModel model) { //只要輸入的用戶名和密碼一樣就過 if (model.UserName.Trim() == model.Password.Trim()) { // 判斷是否勾選了記住我 if (model.RememberMe) { //2880分鍾有效期的cookie FormsAuthentication.SetAuthCookie(model.UserName, true); } else { //會話cookie FormsAuthentication.SetAuthCookie(model.UserName, false); } // 跳轉到Account控制器的Welcome方法 return RedirectToAction("Welcome", "Admin"); } else { return View(model); } } } }
LogOnViewModel是用戶登錄實體類,定義如下:
using System; using System.Collections.Generic; using System.ComponentModel; using System.Linq; using System.Web; namespace MVCAuthorizeFilterDemo.Models { // <summary> /// 用戶登錄實體類 /// </summary> public class LogOnViewModel { /// <summary> /// 用戶名 /// </summary> [DisplayName("用戶名")] public string UserName { get; set; } /// <summary> /// 密碼 /// </summary> [DisplayName("密碼")] public string Password { get; set; } /// <summary> /// 記住我 /// </summary> [DisplayName("記住我")] public bool RememberMe { get; set; } } }
LogOn視圖頁代碼如下:
@model MVCAuthorizeFilterDemo.Models.LogOnViewModel @{ Layout = null; } <!DOCTYPE html> <html> <head> <meta name="viewport" content="width=device-width" /> <title>LogOn</title> </head> <body> @using (Html.BeginForm()) { @Html.AntiForgeryToken() <div class="form-horizontal"> <h4>登錄</h4> <hr /> @Html.ValidationSummary(true) <div class="form-group"> @Html.LabelFor(model => model.UserName, new { @class = "control-label col-md-2" }) <div class="col-md-10"> @Html.EditorFor(model => model.UserName) @Html.ValidationMessageFor(model => model.UserName) </div> </div> <div class="form-group"> @Html.LabelFor(model => model.Password, new { @class = "control-label col-md-2" }) <div class="col-md-10"> @Html.EditorFor(model => model.Password) @Html.ValidationMessageFor(model => model.Password) </div> </div> <div class="form-group"> @Html.LabelFor(model => model.RememberMe, new { @class = "control-label col-md-2" }) <div class="col-md-10"> @Html.EditorFor(model => model.RememberMe) @Html.ValidationMessageFor(model => model.RememberMe) </div> </div> <div class="form-group"> <div class="col-md-offset-2 col-md-10"> <input type="submit" value="登錄" class="btn btn-default" /> </div> </div> </div> } </body> </html>
1.2、修改配置文件
在上面的案例中,如果權限認證沒有通過會顯示錯誤頁面,這種情況下要跳轉到登錄頁面讓用戶進行登錄,所以要再配置文件里面配置登錄頁面,如果沒有通過身份認證就會跳轉到配置文件里面配置的登錄頁面,配置文件代碼如下:
<!--配置登錄頁面--> <authentication mode="Forms"> <forms loginUrl="~/Account/LogOn" timeout="2880" /> </authentication>
1.3、測試
改造完以后重新生成,在URL地址欄里面輸入:http://localhost:39175/Admin/Index,頁面顯示效果如下:
在訪問Welcome方法,輸入:http://localhost:39175/Admin/Welcome,頁面顯示效果如下:
從上圖中可以看出雖然訪問的是Welcome這個Action,但是並沒有直接返回相應的視圖,而是被帶到了登錄頁面,這是因為Welcome這個Action上面使用了Authorize特性,拒絕了所有未登錄用戶的訪問。
上面既然拒絕了未驗證用戶的訪問,那么就登錄下通過驗證。看上面LogOn里面的代碼就知道,只要輸入的用戶名和密碼相同就可以登錄,都輸入“admin”,這時頁面顯示如下:
截圖表明已經通過驗證並且得到了Welcome這個Action的相應。按F12打開控制台,會發現這時多了一個名為“.ASPXAUTH”的Cookie,這個是默認名稱,在配置文件里面可以修改。如果登錄的時候勾選了記住我,那么此Cookie的過期時間就是在配置文件里面定義的2880分鍾。
2、使用方式二
權限過濾器的第二種用法:基於用戶授權和基於角色授權。
基於角色授權就是給Authorize特性的Roles屬性賦值,多個角色可以使用逗號分隔。基於用戶授權就是給Authorize特性的Users屬性賦值,如果是多個用戶也可以使用逗號分隔。驗證不通過時也可以通過web.config進行配置。
繼續基於上面的案例進行改造,只允許登錄名為“a”、“b”的兩個用戶可以訪問Welcome方法,改造后的代碼如下:
using System; using System.Collections.Generic; using System.Linq; using System.Web; using System.Web.Mvc; namespace MVCAuthorizeFilterDemo.Controllers { public class AdminController : Controller { // GET: Admin public ActionResult Index() { return View(); } /// <summary> /// 使用方式一:直接使用Authorize特性,特性不添加任何屬性 /// </summary> /// <returns></returns> //[Authorize] //public ActionResult Welcome() //{ // return View(); //} /// <summary> /// 使用方式二:使用Authorize特性,添加Users屬性,只能a、b登錄用戶才可以訪問 /// </summary> /// <returns></returns> [Authorize(Users ="a,b")] public ActionResult Welcome() { return View(); } } }
再次訪問http://localhost:39175/Admin/Welcome,然后用admin登錄,這時會發現頁面不會跳轉到Welcome方法對應的頁面,還是顯示登錄頁。如果換成a或者b登錄就會顯示Welcome對應的頁面了,這說明設置的Users屬性起作用了。
在上面的案例中,給Authorize特性的Users屬性賦值就可以控制可以訪問的用戶了,從操作性上來說這樣控制Action的訪問權限還是很方便的。但是如果項目很大,用戶對應的角色和權限變化比較大,每次變化都要修改代碼來重新標注Action顯然不合適。這時該如何解決呢?這就可以用MVC提供的自定義過濾器了。下篇文章講解自定義權限過濾器。