快捷導(dǎo)航

ASP.NET?MVC授權(quán)過(guò)濾器用法

更新時(shí)間：2022年03月16日 09:31:48 作者：.NET開(kāi)發(fā)菜鳥(niǎo)

這篇文章介紹了ASP.NET?MVC授權(quán)過(guò)濾器的用法，文中通過(guò)示例代碼介紹的非常詳細(xì)。對(duì)大家的學(xué)習(xí)或工作具有一定的參考借鑒價(jià)值，需要的朋友可以參考下

過(guò)濾器

過(guò)濾器(Filter)的出現(xiàn)使得我們可以在ASP.NET MVC程序里更好的控制瀏覽器請(qǐng)求過(guò)來(lái)的URL，并不是每個(gè)請(qǐng)求都會(huì)響應(yīng)內(nèi)容，只有那些有特定權(quán)限的用戶(hù)才能響應(yīng)特定的內(nèi)容。過(guò)濾器理論上有以下功能：

判斷登錄與否或者用戶(hù)權(quán)限。
決策輸出緩存。
防盜鏈。
防蜘蛛。
本地化與國(guó)際化設(shè)置。
實(shí)現(xiàn)動(dòng)態(tài)Action（做權(quán)限管理系統(tǒng)經(jīng)常用到）。

1、使用方式一

第一種方法是在Controller或Action上面直接使用Authorize特性，不設(shè)置特性的任何屬性?？聪旅娴慕貓D：

從上面的截圖中可以看出：第一個(gè)名為Index的Action方法是沒(méi)有過(guò)濾的，任何身份的請(qǐng)求都可以通過(guò)。只需要在瀏覽器的URL地址欄里面輸入：http://localhost:**/Admin/Index就能得到對(duì)應(yīng)的視圖響應(yīng)，效果如下：

而第二個(gè)名為Welcome的Action方法上面使用了Authorize特性，表示這是一個(gè)只處理那些通過(guò)身份驗(yàn)證的URL的請(qǐng)求，頁(yè)面請(qǐng)求效果如下：

這時(shí)可以看到報(bào)錯(cuò)了：提示只有通過(guò)身份驗(yàn)證的用戶(hù)才能訪問(wèn)請(qǐng)求所需的資源。

這種報(bào)錯(cuò)頁(yè)面很不友好，一般這種情況都是跳轉(zhuǎn)到登錄頁(yè)面讓用戶(hù)進(jìn)行登錄，所以對(duì)程序進(jìn)行如下的改造。

1.1、添加登錄頁(yè)面

新建Account控制器，并新建兩個(gè)Action方法，代碼如下：

using MVCAuthorizeFilterDemo.Models;
using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;
using System.Web.Mvc;
using System.Web.Security;

namespace MVCAuthorizeFilterDemo.Controllers
{
    public class AccountController : Controller
    {
        // GET: Account
        public ActionResult Index()
        {
            return View();
        }

        /// <summary>
        /// 顯示登錄視圖
        /// </summary>
        /// <returns></returns>
        public ActionResult LogOn()
        {
            LogOnViewModel model = new LogOnViewModel();
            return View(model);

        }

        /// <summary>
        /// 處理用戶(hù)點(diǎn)擊登錄提交回發(fā)的表單
        /// </summary>
        /// <param name="model"></param>
        /// <returns></returns>
        [HttpPost]
        public ActionResult LogOn(LogOnViewModel model)
        {
            //只要輸入的用戶(hù)名和密碼一樣就過(guò)
            if (model.UserName.Trim() == model.Password.Trim()) 
            {
                // 判斷是否勾選了記住我
                if (model.RememberMe)
                {
                    //2880分鐘有效期的cookie
                    FormsAuthentication.SetAuthCookie(model.UserName, true);
                }            
                else
                {
                    //會(huì)話cookie
                    FormsAuthentication.SetAuthCookie(model.UserName, false); 
                } 
                // 跳轉(zhuǎn)到Account控制器的Welcome方法
                return RedirectToAction("Welcome", "Admin");
            }
            else
            {
                return View(model);
            }
                
        }
    }
}

LogOnViewModel是用戶(hù)登錄實(shí)體類(lèi)，定義如下：

using System;
using System.Collections.Generic;
using System.ComponentModel;
using System.Linq;
using System.Web;

namespace MVCAuthorizeFilterDemo.Models
{
    // <summary>
    /// 用戶(hù)登錄實(shí)體類(lèi)
    /// </summary>
    public class LogOnViewModel
    {
        /// <summary>
        /// 用戶(hù)名
        /// </summary>
        [DisplayName("用戶(hù)名")]
        public string UserName { get; set; }

        /// <summary>
        /// 密碼
        /// </summary>
        [DisplayName("密碼")]
        public string Password { get; set; }

        /// <summary>
        /// 記住我
        /// </summary>
        [DisplayName("記住我")]
        public bool RememberMe { get; set; }

    }
}

LogOn視圖頁(yè)代碼如下：

@model MVCAuthorizeFilterDemo.Models.LogOnViewModel
@{
    Layout = null;
}

<!DOCTYPE html>

<html>
<head>
    <meta name="viewport" content="width=device-width" />
    <title>LogOn</title>
</head>
<body>
    @using (Html.BeginForm())
    {
        @Html.AntiForgeryToken()

        <div class="form-horizontal">
            <h4>登錄</h4>
            <hr />
            @Html.ValidationSummary(true)

            <div class="form-group">
                @Html.LabelFor(model => model.UserName, new { @class = "control-label col-md-2" })
                <div class="col-md-10">
                    @Html.EditorFor(model => model.UserName)
                    @Html.ValidationMessageFor(model => model.UserName)
                </div>
            </div>

            <div class="form-group">
                @Html.LabelFor(model => model.Password, new { @class = "control-label col-md-2" })
                <div class="col-md-10">
                    @Html.EditorFor(model => model.Password)
                    @Html.ValidationMessageFor(model => model.Password)
                </div>
            </div>

            <div class="form-group">
                @Html.LabelFor(model => model.RememberMe, new { @class = "control-label col-md-2" })
                <div class="col-md-10">
                    @Html.EditorFor(model => model.RememberMe)
                    @Html.ValidationMessageFor(model => model.RememberMe)
                </div>
            </div>

            <div class="form-group">
                <div class="col-md-offset-2 col-md-10">
                    <input type="submit" value="登錄" class="btn btn-default" />
                </div>
            </div>
        </div>
    }
</body>
</html>

1.2、修改配置文件

在上面的案例中，如果權(quán)限認(rèn)證沒(méi)有通過(guò)會(huì)顯示錯(cuò)誤頁(yè)面，這種情況下要跳轉(zhuǎn)到登錄頁(yè)面讓用戶(hù)進(jìn)行登錄，所以要再配置文件里面配置登錄頁(yè)面，如果沒(méi)有通過(guò)身份認(rèn)證就會(huì)跳轉(zhuǎn)到配置文件里面配置的登錄頁(yè)面，配置文件代碼如下：

<!--配置登錄頁(yè)面-->
<authentication mode="Forms">
   <forms loginUrl="~/Account/LogOn" timeout="2880" />
</authentication>

1.3、測(cè)試

改造完以后重新生成，在URL地址欄里面輸入：http://localhost:39175/Admin/Index，頁(yè)面顯示效果如下：

在訪問(wèn)Welcome方法，輸入：http://localhost:39175/Admin/Welcome，頁(yè)面顯示效果如下：

從上圖中可以看出雖然訪問(wèn)的是Welcome這個(gè)Action，但是并沒(méi)有直接返回相應(yīng)的視圖，而是被帶到了登錄頁(yè)面，這是因?yàn)閃elcome這個(gè)Action上面使用了Authorize特性，拒絕了所有未登錄用戶(hù)的訪問(wèn)。

上面既然拒絕了未驗(yàn)證用戶(hù)的訪問(wèn)，那么就登錄下通過(guò)驗(yàn)證?？瓷厦鍸ogOn里面的代碼就知道，只要輸入的用戶(hù)名和密碼相同就可以登錄，都輸入“admin”，這時(shí)頁(yè)面顯示如下：

截圖表明已經(jīng)通過(guò)驗(yàn)證并且得到了Welcome這個(gè)Action的相應(yīng)。按F12打開(kāi)控制臺(tái)，會(huì)發(fā)現(xiàn)這時(shí)多了一個(gè)名為“.ASPXAUTH”的Cookie，這個(gè)是默認(rèn)名稱(chēng)，在配置文件里面可以修改。如果登錄的時(shí)候勾選了記住我，那么此Cookie的過(guò)期時(shí)間就是在配置文件里面定義的2880分鐘。

2、使用方式二

權(quán)限過(guò)濾器的第二種用法：基于用戶(hù)授權(quán)和基于角色授權(quán)。

基于角色授權(quán)就是給Authorize特性的Roles屬性賦值，多個(gè)角色可以使用逗號(hào)分隔。基于用戶(hù)授權(quán)就是給Authorize特性的Users屬性賦值，如果是多個(gè)用戶(hù)也可以使用逗號(hào)分隔。驗(yàn)證不通過(guò)時(shí)也可以通過(guò)web.config進(jìn)行配置。

繼續(xù)基于上面的案例進(jìn)行改造，只允許登錄名為“a”、“b”的兩個(gè)用戶(hù)可以訪問(wèn)Welcome方法，改造后的代碼如下：

using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;
using System.Web.Mvc;

namespace MVCAuthorizeFilterDemo.Controllers
{
    public class AdminController : Controller
    {
        // GET: Admin
        public ActionResult Index()
        {
            return View();
        }

        /// <summary>
        /// 使用方式一：直接使用Authorize特性，特性不添加任何屬性
        /// </summary>
        /// <returns></returns>
        //[Authorize]
        //public ActionResult Welcome()
        //{
        //    return View();
        //}


        /// <summary>
        /// 使用方式二：使用Authorize特性，添加Users屬性，只能a、b登錄用戶(hù)才可以訪問(wèn)
        /// </summary>
        /// <returns></returns>
        [Authorize(Users ="a,b")]
        public ActionResult Welcome()
        {
            return View();
        }
    }
}

再次訪問(wèn)http://localhost:39175/Admin/Welcome，然后用admin登錄，這時(shí)會(huì)發(fā)現(xiàn)頁(yè)面不會(huì)跳轉(zhuǎn)到Welcome方法對(duì)應(yīng)的頁(yè)面，還是顯示登錄頁(yè)。如果換成a或者b登錄就會(huì)顯示W(wǎng)elcome對(duì)應(yīng)的頁(yè)面了，這說(shuō)明設(shè)置的Users屬性起作用了。

到此這篇關(guān)于ASP.NET MVC授權(quán)過(guò)濾器用法的文章就介紹到這了。希望對(duì)大家的學(xué)習(xí)有所幫助，也希望大家多多支持腳本之家。

您可能感興趣的文章: