ASP.NET?MVC授權(quán)過濾器用法

更新時間：2022年03月16日 09:31:48 作者：.NET開發(fā)菜鳥

這篇文章介紹了ASP.NET?MVC授權(quán)過濾器的用法，文中通過示例代碼介紹的非常詳細。對大家的學習或工作具有一定的參考借鑒價值，需要的朋友可以參考下

過濾器

過濾器(Filter)的出現(xiàn)使得我們可以在ASP.NET MVC程序里更好的控制瀏覽器請求過來的URL，并不是每個請求都會響應內(nèi)容，只有那些有特定權(quán)限的用戶才能響應特定的內(nèi)容。過濾器理論上有以下功能：

判斷登錄與否或者用戶權(quán)限。
決策輸出緩存。
防盜鏈。
防蜘蛛。
本地化與國際化設置。
實現(xiàn)動態(tài)Action（做權(quán)限管理系統(tǒng)經(jīng)常用到）。

1、使用方式一

第一種方法是在Controller或Action上面直接使用Authorize特性，不設置特性的任何屬性?？聪旅娴慕貓D：

從上面的截圖中可以看出：第一個名為Index的Action方法是沒有過濾的，任何身份的請求都可以通過。只需要在瀏覽器的URL地址欄里面輸入：http://localhost:**/Admin/Index就能得到對應的視圖響應，效果如下：

而第二個名為Welcome的Action方法上面使用了Authorize特性，表示這是一個只處理那些通過身份驗證的URL的請求，頁面請求效果如下：

這時可以看到報錯了：提示只有通過身份驗證的用戶才能訪問請求所需的資源。

這種報錯頁面很不友好，一般這種情況都是跳轉(zhuǎn)到登錄頁面讓用戶進行登錄，所以對程序進行如下的改造。

1.1、添加登錄頁面

新建Account控制器，并新建兩個Action方法，代碼如下：

using MVCAuthorizeFilterDemo.Models;
using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;
using System.Web.Mvc;
using System.Web.Security;

namespace MVCAuthorizeFilterDemo.Controllers
{
    public class AccountController : Controller
    {
        // GET: Account
        public ActionResult Index()
        {
            return View();
        }

        /// <summary>
        /// 顯示登錄視圖
        /// </summary>
        /// <returns></returns>
        public ActionResult LogOn()
        {
            LogOnViewModel model = new LogOnViewModel();
            return View(model);

        }

        /// <summary>
        /// 處理用戶點擊登錄提交回發(fā)的表單
        /// </summary>
        /// <param name="model"></param>
        /// <returns></returns>
        [HttpPost]
        public ActionResult LogOn(LogOnViewModel model)
        {
            //只要輸入的用戶名和密碼一樣就過
            if (model.UserName.Trim() == model.Password.Trim()) 
            {
                // 判斷是否勾選了記住我
                if (model.RememberMe)
                {
                    //2880分鐘有效期的cookie
                    FormsAuthentication.SetAuthCookie(model.UserName, true);
                }            
                else
                {
                    //會話cookie
                    FormsAuthentication.SetAuthCookie(model.UserName, false); 
                } 
                // 跳轉(zhuǎn)到Account控制器的Welcome方法
                return RedirectToAction("Welcome", "Admin");
            }
            else
            {
                return View(model);
            }
                
        }
    }
}

LogOnViewModel是用戶登錄實體類，定義如下：

using System;
using System.Collections.Generic;
using System.ComponentModel;
using System.Linq;
using System.Web;

namespace MVCAuthorizeFilterDemo.Models
{
    // <summary>
    /// 用戶登錄實體類
    /// </summary>
    public class LogOnViewModel
    {
        /// <summary>
        /// 用戶名
        /// </summary>
        [DisplayName("用戶名")]
        public string UserName { get; set; }

        /// <summary>
        /// 密碼
        /// </summary>
        [DisplayName("密碼")]
        public string Password { get; set; }

        /// <summary>
        /// 記住我
        /// </summary>
        [DisplayName("記住我")]
        public bool RememberMe { get; set; }

    }
}

LogOn視圖頁代碼如下：

@model MVCAuthorizeFilterDemo.Models.LogOnViewModel
@{
    Layout = null;
}

<!DOCTYPE html>

<html>
<head>
    <meta name="viewport" content="width=device-width" />
    <title>LogOn</title>
</head>
<body>
    @using (Html.BeginForm())
    {
        @Html.AntiForgeryToken()

        <div class="form-horizontal">
            <h4>登錄</h4>
            <hr />
            @Html.ValidationSummary(true)

            <div class="form-group">
                @Html.LabelFor(model => model.UserName, new { @class = "control-label col-md-2" })
                <div class="col-md-10">
                    @Html.EditorFor(model => model.UserName)
                    @Html.ValidationMessageFor(model => model.UserName)
                </div>
            </div>

            <div class="form-group">
                @Html.LabelFor(model => model.Password, new { @class = "control-label col-md-2" })
                <div class="col-md-10">
                    @Html.EditorFor(model => model.Password)
                    @Html.ValidationMessageFor(model => model.Password)
                </div>
            </div>

            <div class="form-group">
                @Html.LabelFor(model => model.RememberMe, new { @class = "control-label col-md-2" })
                <div class="col-md-10">
                    @Html.EditorFor(model => model.RememberMe)
                    @Html.ValidationMessageFor(model => model.RememberMe)
                </div>
            </div>

            <div class="form-group">
                <div class="col-md-offset-2 col-md-10">
                    <input type="submit" value="登錄" class="btn btn-default" />
                </div>
            </div>
        </div>
    }
</body>
</html>

1.2、修改配置文件

在上面的案例中，如果權(quán)限認證沒有通過會顯示錯誤頁面，這種情況下要跳轉(zhuǎn)到登錄頁面讓用戶進行登錄，所以要再配置文件里面配置登錄頁面，如果沒有通過身份認證就會跳轉(zhuǎn)到配置文件里面配置的登錄頁面，配置文件代碼如下：

<!--配置登錄頁面-->
<authentication mode="Forms">
   <forms loginUrl="~/Account/LogOn" timeout="2880" />
</authentication>

1.3、測試

改造完以后重新生成，在URL地址欄里面輸入：http://localhost:39175/Admin/Index，頁面顯示效果如下：

在訪問Welcome方法，輸入：http://localhost:39175/Admin/Welcome，頁面顯示效果如下：

從上圖中可以看出雖然訪問的是Welcome這個Action，但是并沒有直接返回相應的視圖，而是被帶到了登錄頁面，這是因為Welcome這個Action上面使用了Authorize特性，拒絕了所有未登錄用戶的訪問。

上面既然拒絕了未驗證用戶的訪問，那么就登錄下通過驗證?？瓷厦鍸ogOn里面的代碼就知道，只要輸入的用戶名和密碼相同就可以登錄，都輸入“admin”，這時頁面顯示如下：

截圖表明已經(jīng)通過驗證并且得到了Welcome這個Action的相應。按F12打開控制臺，會發(fā)現(xiàn)這時多了一個名為“.ASPXAUTH”的Cookie，這個是默認名稱，在配置文件里面可以修改。如果登錄的時候勾選了記住我，那么此Cookie的過期時間就是在配置文件里面定義的2880分鐘。

2、使用方式二

權(quán)限過濾器的第二種用法：基于用戶授權(quán)和基于角色授權(quán)。

基于角色授權(quán)就是給Authorize特性的Roles屬性賦值，多個角色可以使用逗號分隔?；谟脩羰跈?quán)就是給Authorize特性的Users屬性賦值，如果是多個用戶也可以使用逗號分隔。驗證不通過時也可以通過web.config進行配置。

繼續(xù)基于上面的案例進行改造，只允許登錄名為“a”、“b”的兩個用戶可以訪問Welcome方法，改造后的代碼如下：

using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;
using System.Web.Mvc;

namespace MVCAuthorizeFilterDemo.Controllers
{
    public class AdminController : Controller
    {
        // GET: Admin
        public ActionResult Index()
        {
            return View();
        }

        /// <summary>
        /// 使用方式一：直接使用Authorize特性，特性不添加任何屬性
        /// </summary>
        /// <returns></returns>
        //[Authorize]
        //public ActionResult Welcome()
        //{
        //    return View();
        //}


        /// <summary>
        /// 使用方式二：使用Authorize特性，添加Users屬性，只能a、b登錄用戶才可以訪問
        /// </summary>
        /// <returns></returns>
        [Authorize(Users ="a,b")]
        public ActionResult Welcome()
        {
            return View();
        }
    }
}

再次訪問http://localhost:39175/Admin/Welcome，然后用admin登錄，這時會發(fā)現(xiàn)頁面不會跳轉(zhuǎn)到Welcome方法對應的頁面，還是顯示登錄頁。如果換成a或者b登錄就會顯示W(wǎng)elcome對應的頁面了，這說明設置的Users屬性起作用了。

到此這篇關(guān)于ASP.NET MVC授權(quán)過濾器用法的文章就介紹到這了。希望對大家的學習有所幫助，也希望大家多多支持腳本之家。

您可能感興趣的文章: