.net mvc Authorization Filter,Exception Filter与Action Filter
一:知识点部分
权限是做网页经常要涉及到的一个知识点,在使用MVC做权限设计时需要先了解以下知识:
MVC中Url的执行是按照Controller->Action->View页面,但是我们经常需要在函数执行所指定的Action之前或者action方法之后处理一些逻辑,为了处理这些逻辑,ASP.NET MVC允许你创建action过滤器Filter,我们都知道在Action上使用的每一个 [Attribute]大都是自定义的Filter。
mvc提供四种类型的Filter接口:IActionFilter,IAuthorizationFilter,IExceptionFilter,IResultFilter, 这四种Filter足以满足我们所要实现的功能,它还提供了几个现
成的可以使用的Filter:OutputCacheAttribute、 HandleErrorAttribute、AuthorizeAttribute。(AuthorizeAttribute 和 HandleErrorAttribute继承自FilterAttribute 类)
其中:
IActionFilter提供的两种方法: OnActionExecuting 在调用操作方法前调用。OnActionExecuted 在调用操作方法后调用。
IResultFilter提供的两种方法:OnResultExecuting 在执行由操作方法返回的操作结果前调用。OnResultExecuted 在执行由操作方法返回的操作结果后调用。
IAuthorizationFilter是一个用于身份验证的Filter。只提供了一个void OnAuthorization(AuthorizationContext filterContext)方法。
IExceptionFilter会在出现异常的时候调用,也是只提供一个void OnException(ExceptionContext filterContext)的方法;
而4个接口的方法执行顺序如下:IAuthorizationFilter -> IActionFilter - >IResultFilter ->IExceptionFilter
【 ActionExecutedContext类包含一个 Canceled的属性,允许你取消当前的 Action】
现在我们来看一下用得最多的一个类ActionFilterAttribute:
System.Object
System.Attribute
System.Web.Mvc.FilterAttribute
System.Web.Mvc.ActionFilterAttribute
System.Web.Mvc.AsyncTimeoutAttribute
System.Web.Mvc.OutputCacheAttribute
public abstract class ActionFilterAttribute : FilterAttribute, IActionFilter, IResultFilter{
}
他继承了 FilterAttribute, IActionFilter, IResultFilter三个类,通常我们在Action逻辑之前需要处理一些功能,比如权限等,因此会自定义一个Filter,它继承于
ActionFilterAttribute ,然后再在ActionFilterAttribute 中重载由接口 IActionFilter, IResultFilter继承下来的函数
void OnActionExecuting(ActionExecutingContext filterContext)
void OnActionExecuted(ActionExecutedContext filterContext)
void OnResultExecuting(ResultExecutingContext filterContext)
void OnResultExecuted(ResultExecutedContext filterContext)
其中ActionFilterAttribute有两个属性,一个是继承FilterAttribute,另一个继承Attribute
Order 获取或者设置执行操作筛选器的顺序。 (继承自 FilterAttribute。)
TypeId 当在派生类中实现时,获取该 Attribute 的唯一标识符。 (继承自 Attribute。)
例如如下代码段:
[orderFilter(RoleId="2",Order=2)]
[UserFilter(UserId="3",Order=1)]
public ActionResult test() {
return View();
}
程序在执行的顺序为:UserFilter->orderFilter->test
二:实例部分
了解上面的一些知识后,我们来看一下我设计的权限实例:
如果不知道用户,角色,组,权限之前的一些关系,建议你先看我上一篇“权限的基础知识”,这篇文章是我转过来的,觉得还不错,因为之前自己做完项目后没
分的很清楚,现在看完那篇文章,对号入座,才清楚原来我也是按照用户,角色,组,权限等这些关系来进行着 ^_^(如果下面对号入座的不对,请大家指正)
假设现在有4种功能权限: 添加功能、删除功能、发布功能、修改功能等。按照二进制01格式来设计,0表示没有该功能权限,1表示有该权限,
也就是说,按照顺序
添加 删除 发布 修改
1 1 1 1 如果只有修改功能 就是0001,
如果有添加及删除功能 就是1100,
将二进制转换为int数 添加功能:(1000=int数 8) 删除功能:(0100=int数 4) 发布功能:(0010=int数 2) 修改功能:(0001 =int数 1)
这我可以理解为 -----权限
而每个用户拥有的功能(权限)是不一样的 ,可以有多种组合, 比如1001(添加及修改权限) 0011(发布及修改权限) 1111(全部权限)
这我可以理解为-------组
而对不同用户我将他们的权限组合功能变为int 数存于user表的Permission(int)字段中,这样的话:(添加及修改权限1001=int数 9)
(发布及修改权限0011=int 数 3) (全部权限1111=int数 15)
这我可以理解为--------角色
至于用户就是我们自己数据库里面的username了.
设置用户权限:只需要将所拥有功能权限的int数相加存入数据库就可;
查看用户权限:则需要先将Permission的int值解析为二进制数,然后再看为1 的位数的int数值与对应的功能值就可。
实现: 当用户登录的时候,先查看他的Permission的int值(就是角色),将角色解析为相应的组,将每组的权限int值载入用户主体的Roles,他是一个数组形式。
(因为有一种或多种功能权限)
然后在每个需要进行权限过滤的Action上加上自定义的Filter:即在重载的OnActionExecuting方法内判断是否当前用户的Roles里面存在该功能权限,如果存在,
则进入页面,否则跳到无权限页面。
下面就是代码了,继承ActionFilterAttribute类,并且重载OnActionExecuting方法:
publicclass RoleFilter : ActionFilterAttribute {
publicstring checkRole { get; set; } //应传入的功能权限值
publicoverridevoid OnActionExecuting(ActionExecutingContext filterContext) {
if(!string.IsNullOrEmpty(checkRole)) {
if(!filterContext.HttpContext.User.Identity.IsAuthenticated) { //判断用户是否已经登录,没登录跳转到登录页面,
string okurl = filterContext.HttpContext.Request.RawUrl;
string redirectUrl =string.Format("?ReturnUrl={0}", okurl);
string loginUrl = FormsAuthentication.LoginUrl + redirectUrl;
filterContext.Result =new RedirectResult(loginUrl);
} else { //已登录用户
bool isAuthorize = filterContext.HttpContext.User.IsInRole(checkRole);
if(!isAuthorize) //判断用户是否拥有checkRole权限,没有的话跳转到权限错误页。
filterContext.Result =new RedirectToRouteResult("Default", new RouteValueDictionary(new { Controller ="Account", Action ="AuthorizeError" }));
}
} else {
thrownew InvalidOperationException("该用户没有指定角色,请联系管理员给予角色。");
}
}
}
在程序刚启动的时候如要读取用户角色的权限。才好做上面的比较:
public MvcApplication() {
AuthorizeRequest +=new EventHandler(MvcApplication_AuthorizeRequest);
}
void MvcApplication_AuthorizeRequest(object sender, EventArgs e) {
//获取当前用户的角色
if(HttpContext.Current.User.Identity.IsAuthenticated) {
//下面这个方法是将role(int)转换为二进制 然后算个每个权限的int值 数组
var roles = CMSPermissionController.Instance.PermissionIdList(HttpContext.Current.User.Identity.Name.Trim()).ToArray<string>();
HttpContext.Current.User =new System.Security.Principal.GenericPrincipal(HttpContext.Current.User.Identity, roles);
}
}
调用的过程为:
//根据需要你也可以对整个Controller加【attribute】
[RoleFilter(checkRole ="2")]
publicclass GroupController : Controller {
public ActionResult Index() {
return View();
}
public ActionResult Create() {
return View();
}
}
//也可以对某个特定的Action添加
[RoleFilter(checkRole ="4")]
publicstring Delete(string RelaPath) {
//to do ...
}
上面的代码基本上就可以实现了,在调试的过程中,曾经有个同事问,如果我要在Delete上也要检查checkRole="8"的时候你怎么办,我当时有点懵。。。没想
太多,就觉得那到底是先checkRole是4还是先checkRole是“8”呢,现在看来,不存在那样状况, 因为我定义的4,8等数字, 本身就是定死的权限,比如
添加 删除 发布 修改对应的权限数字是8,4,2,1;所以如果我们要对Delete本来是4的权限,来检查添加的权限8,业务逻辑上本身也是不存在的! O(∩_∩)O
原文来自http://www.cnblogs.com/Joans/archive/2011/07/20/2110775.html
