日本免费高清视频-国产福利视频导航-黄色在线播放国产-天天操天天操天天操天天操|www.shdianci.com

學無先后,達者為師

網站首頁 編程語言 正文

ASP.NET?MVC授權過濾器用法_實用技巧

作者:.NET開發菜鳥 ? 更新時間: 2022-05-18 編程語言

過濾器

過濾器(Filter)的出現使得我們可以在ASP.NET MVC程序里更好的控制瀏覽器請求過來的URL,并不是每個請求都會響應內容,只有那些有特定權限的用戶才能響應特定的內容。過濾器理論上有以下功能:

  • 判斷登錄與否或者用戶權限。
  • 決策輸出緩存。
  • 防盜鏈。
  • 防蜘蛛。
  • 本地化與國際化設置。
  • 實現動態Action(做權限管理系統經常用到)。

1、使用方式一

第一種方法是在Controller或Action上面直接使用Authorize特性,不設置特性的任何屬性。看下面的截圖:

從上面的截圖中可以看出:第一個名為Index的Action方法是沒有過濾的,任何身份的請求都可以通過。只需要在瀏覽器的URL地址欄里面輸入:http://localhost:**/Admin/Index就能得到對應的視圖響應,效果如下:

而第二個名為Welcome的Action方法上面使用了Authorize特性,表示這是一個只處理那些通過身份驗證的URL的請求,頁面請求效果如下:

這時可以看到報錯了:提示只有通過身份驗證的用戶才能訪問請求所需的資源。

這種報錯頁面很不友好,一般這種情況都是跳轉到登錄頁面讓用戶進行登錄,所以對程序進行如下的改造。

1.1、添加登錄頁面

新建Account控制器,并新建兩個Action方法,代碼如下:

using MVCAuthorizeFilterDemo.Models;
using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;
using System.Web.Mvc;
using System.Web.Security;

namespace MVCAuthorizeFilterDemo.Controllers
{
    public class AccountController : Controller
    {
        // GET: Account
        public ActionResult Index()
        {
            return View();
        }

        /// 
        /// 顯示登錄視圖
        /// 
        /// 
        public ActionResult LogOn()
        {
            LogOnViewModel model = new LogOnViewModel();
            return View(model);

        }

        /// 
        /// 處理用戶點擊登錄提交回發的表單
        /// 
        /// 
        /// 
        [HttpPost]
        public ActionResult LogOn(LogOnViewModel model)
        {
            //只要輸入的用戶名和密碼一樣就過
            if (model.UserName.Trim() == model.Password.Trim()) 
            {
                // 判斷是否勾選了記住我
                if (model.RememberMe)
                {
                    //2880分鐘有效期的cookie
                    FormsAuthentication.SetAuthCookie(model.UserName, true);
                }            
                else
                {
                    //會話cookie
                    FormsAuthentication.SetAuthCookie(model.UserName, false); 
                } 
                // 跳轉到Account控制器的Welcome方法
                return RedirectToAction("Welcome", "Admin");
            }
            else
            {
                return View(model);
            }
                
        }
    }
}

LogOnViewModel是用戶登錄實體類,定義如下:

using System;
using System.Collections.Generic;
using System.ComponentModel;
using System.Linq;
using System.Web;

namespace MVCAuthorizeFilterDemo.Models
{
    // 
    /// 用戶登錄實體類
    /// 
    public class LogOnViewModel
    {
        /// 
        /// 用戶名
        /// 
        [DisplayName("用戶名")]
        public string UserName { get; set; }

        /// 
        /// 密碼
        /// 
        [DisplayName("密碼")]
        public string Password { get; set; }

        /// 
        /// 記住我
        /// 
        [DisplayName("記住我")]
        public bool RememberMe { get; set; }

    }
}

LogOn視圖頁代碼如下:

@model MVCAuthorizeFilterDemo.Models.LogOnViewModel
@{
    Layout = null;
}





    
    LogOn


    @using (Html.BeginForm())
    {
        @Html.AntiForgeryToken()

        

            
登錄

            

            @Html.ValidationSummary(true)

            

                @Html.LabelFor(model => model.UserName, new { @class = "control-label col-md-2" })
                

                    @Html.EditorFor(model => model.UserName)
                    @Html.ValidationMessageFor(model => model.UserName)
                

            


            

                @Html.LabelFor(model => model.Password, new { @class = "control-label col-md-2" })
                

                    @Html.EditorFor(model => model.Password)
                    @Html.ValidationMessageFor(model => model.Password)
                

            


            

                @Html.LabelFor(model => model.RememberMe, new { @class = "control-label col-md-2" })
                

                    @Html.EditorFor(model => model.RememberMe)
                    @Html.ValidationMessageFor(model => model.RememberMe)
                

            


            

                

                    
                

            

        

    }

1.2、修改配置文件

在上面的案例中,如果權限認證沒有通過會顯示錯誤頁面,這種情況下要跳轉到登錄頁面讓用戶進行登錄,所以要再配置文件里面配置登錄頁面,如果沒有通過身份認證就會跳轉到配置文件里面配置的登錄頁面,配置文件代碼如下:

1.3、測試

改造完以后重新生成,在URL地址欄里面輸入:http://localhost:39175/Admin/Index,頁面顯示效果如下:

在訪問Welcome方法,輸入:http://localhost:39175/Admin/Welcome,頁面顯示效果如下:

從上圖中可以看出雖然訪問的是Welcome這個Action,但是并沒有直接返回相應的視圖,而是被帶到了登錄頁面,這是因為Welcome這個Action上面使用了Authorize特性,拒絕了所有未登錄用戶的訪問。

上面既然拒絕了未驗證用戶的訪問,那么就登錄下通過驗證。看上面LogOn里面的代碼就知道,只要輸入的用戶名和密碼相同就可以登錄,都輸入“admin”,這時頁面顯示如下:

截圖表明已經通過驗證并且得到了Welcome這個Action的相應。按F12打開控制臺,會發現這時多了一個名為“.ASPXAUTH”的Cookie,這個是默認名稱,在配置文件里面可以修改。如果登錄的時候勾選了記住我,那么此Cookie的過期時間就是在配置文件里面定義的2880分鐘。

2、使用方式二

權限過濾器的第二種用法:基于用戶授權和基于角色授權。

基于角色授權就是給Authorize特性的Roles屬性賦值,多個角色可以使用逗號分隔。基于用戶授權就是給Authorize特性的Users屬性賦值,如果是多個用戶也可以使用逗號分隔。驗證不通過時也可以通過web.config進行配置。

繼續基于上面的案例進行改造,只允許登錄名為“a”、“b”的兩個用戶可以訪問Welcome方法,改造后的代碼如下:

using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;
using System.Web.Mvc;

namespace MVCAuthorizeFilterDemo.Controllers
{
    public class AdminController : Controller
    {
        // GET: Admin
        public ActionResult Index()
        {
            return View();
        }

        /// 
        /// 使用方式一:直接使用Authorize特性,特性不添加任何屬性
        /// 
        /// 
        //[Authorize]
        //public ActionResult Welcome()
        //{
        //    return View();
        //}


        /// 
        /// 使用方式二:使用Authorize特性,添加Users屬性,只能a、b登錄用戶才可以訪問
        /// 
        /// 
        [Authorize(Users ="a,b")]
        public ActionResult Welcome()
        {
            return View();
        }
    }
}

再次訪問http://localhost:39175/Admin/Welcome,然后用admin登錄,這時會發現頁面不會跳轉到Welcome方法對應的頁面,還是顯示登錄頁。如果換成a或者b登錄就會顯示Welcome對應的頁面了,這說明設置的Users屬性起作用了。

原文鏈接:https://www.cnblogs.com/dotnet261010/p/10841726.html

欄目分類
最近更新