如何将ASP.NET MVC的自定义授权过滤器改写为长尾词?
- 内容介绍
- 文章标签
- 相关推荐
本文共计1659个文字,预计阅读时间需要7分钟。
目录
一、授权过滤器
二、示例
1、添加响应实体类
2、添加测试数据
三、新建继承类
四、添加Account控制器
五、修改配置文件
六、添加授权控制器
七、测试Welcome
一、授权过滤器
二、示例
1、添加响应实体类
2、添加测试数据
三、新建继承类
四、添加Account控制器
五、修改配置文件
六、添加授权控制器
七、测试Welcome
总结一、授权过滤器
目录
- 一、授权过滤器
- 二、示例
- 1、添加对应实体类
- 2、添加测试数据
- 3、新建继承类
- 4、添加Account控制器
- 5、修改配置文件
- 6、添加授权控制器
- 三、测试
- 测试Welcome
- 四、总结
一、授权过滤器
授权过滤器用于实现IAuthorizationFilter接口和做出关于是否执行操作方法(如执行身份验证或验证请求的属性)的安全策略。AuthorizeAttribute类继承了IAuthorizationFilter接口,是授权过滤器的示例。授权过滤器在任何其他过滤器之前运行。
如果要自定义授权过滤器,只需要定义一个类继承自AuthorizeAttribute类,然后重写AuthorizeAttribute类里面的方法即可。
二、示例
下面根据一个具体的案例来讲解如何使用自定义过滤器
1、添加对应实体类
User实体类代码如下:
using System; using System.Collections.Generic; using System.Linq; using System.Web; namespace MVCCustomerFilterDemo.Models { public class User { public int Id { get; set; } public string UserName { get; set; } public int RoleId { get; set; } } }
Role实体类代码如下:
using System; using System.Collections.Generic; using System.Linq; using System.Web; namespace MVCCustomerFilterDemo.Models { public class Role { public int Id { get; set; } public string RoleName { get; set; } public string Description { get; set; } } }
RoleWithControllerAction实体类代码如下:
using System; using System.Collections.Generic; using System.Linq; using System.Web; namespace MVCCustomerFilterDemo.Models { public class RoleWithControllerAction { public int Id { get; set; } public string ControllerName { get; set; } public string ActionName { get; set; } public string RoleIds { get; set; } } }
用于展示登录视图的登录用户实体类LogOnViewModel代码如下:
using System; using System.Collections.Generic; using System.ComponentModel; using System.Linq; using System.Web; namespace MVCCustomerFilterDemo.Models { // <summary> /// 用户登录类 /// </summary> public class LogOnViewModel { /// <summary> /// 用户名 /// </summary> [DisplayName("用户名")] public string UserName { get; set; } /// <summary> /// 密码 /// </summary> [DisplayName("密码")] public string Password { get; set; } /// <summary> /// 记住我 /// </summary> [DisplayName("记住我")] public bool RememberMe { get; set; } } }
2、添加测试数据
在程序中模拟数据库中的数据,实际使用中要去数据库查询,代码如下:
using MVCCustomerFilterDemo.Models; using System; using System.Collections.Generic; using System.Linq; using System.Web; namespace MVCCustomerFilterDemo.DataBase { /// <summary> /// 测试数据(实际项目中,这些数据应该从数据库拿) /// </summary> public class SampleData { public static List<User> users; public static List<Role> roles; public static List<RoleWithControllerAction> roleWithControllerAndAction; static SampleData() { // 初始化用户 users = new List<User>() { new User(){ Id=1, UserName="jxl", RoleId=1}, new User(){ Id=2, UserName ="senior1", RoleId=2}, new User(){ Id=3, UserName ="senior2", RoleId=2}, new User(){ Id=5, UserName="junior1", RoleId=3}, new User(){ Id=6, UserName="junior2", RoleId=3}, new User(){ Id=6, UserName="junior3", RoleId=3} }; // 初始化角色 roles = new List<Role>() { new Role() { Id=1, RoleName="管理员", Description="管理员角色"}, new Role() { Id=2, RoleName="高级会员", Description="高级会员角色"}, new Role() { Id=3, RoleName="初级会员", Description="初级会员角色"} }; // 初始化角色控制器和Action对应类 roleWithControllerAndAction = new List<RoleWithControllerAction>() { new RoleWithControllerAction(){ Id=1, ControllerName="AuthFilters", ActionName="AdminUser", RoleIds="1"}, new RoleWithControllerAction(){ Id=2, ControllerName="AuthFilters", ActionName="SeniorUser",RoleIds="1,2"}, new RoleWithControllerAction(){ Id=3, ControllerName="AuthFilters", ActionName="JuniorUser",RoleIds="1,2,3"}, new RoleWithControllerAction(){ Id=3, ControllerName="AuthFilters", ActionName="Welcome",RoleIds="1,2"}, new RoleWithControllerAction(){ Id=4, ControllerName="ActionFilters", ActionName="Index", RoleIds="2,3"}, new RoleWithControllerAction(){ Id=4, ControllerName="ActionPremisFilters", ActionName="Index", RoleIds="2,3"} }; } } }
3、新建继承类
新建一个UserAuthorize类,继承自AuthorizeAttribute类,然后F12转到定义查看AuthorizeAttribute代码,代码如下:
#region 程序集 System.Web.Mvc, Version=5.2.4.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35 // E:\Practice\过滤器\自定义权限过滤器\MVCCustomerFilterDemo\packages\Microsoft.AspNet.Mvc.5.2.4\lib\net45\System.Web.Mvc.dll #endregion namespace System.Web.Mvc { // // 摘要: // 指定对控制器或操作方法的访问只限于满足授权要求的用户。 [AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, Inherited = true, AllowMultiple = true)] public class AuthorizeAttribute : FilterAttribute, IAuthorizationFilter { // // 摘要: // 初始化 System.Web.Mvc.AuthorizeAttribute 类的新实例。 public AuthorizeAttribute(); // // 摘要: // 获取或设置有权访问控制器或操作方法的用户角色。 // // 返回结果: // 有权访问控制器或操作方法的用户角色。 public string Roles { get; set; } // // 摘要: // 获取此特性的唯一标识符。 // // 返回结果: // 此特性的唯一标识符。 public override object TypeId { get; } // // 摘要: // 获取或设置有权访问控制器或操作方法的用户。 // // 返回结果: // 有权访问控制器或操作方法的用户。 public string Users { get; set; } // // 摘要: // 在过程请求授权时调用。 // // 参数: // filterContext: // 筛选器上下文,它封装有关使用 System.Web.Mvc.AuthorizeAttribute 的信息。 // // 异常: // T:System.ArgumentNullException: // filterContext 参数为 null。 public virtual void OnAuthorization(AuthorizationContext filterContext); // // 摘要: // 重写时,提供一个入口点用于进行自定义授权检查。 // // 参数: // localhost:****/AuthFilters/Welcome,会跳转到登录页面,如图所示:
然后输入相同的用户名和密码,点击登录,会显示Welcome对应的页面:
在看一下SampleData中,角色为1,2的也可以访问Welcome方法,用角色1访问Welcome:
点击登录:
从上面的截图中看出:senior1登录成功了,senior1是角色2,证明角色1、2可以访问Welcome方法。在使用junior2登录名访问Welcome方法:
由于junior2的角色是3,而角色3没有访问Welcome方法的权限,所以会跳转到Error页面:
四、总结
Welcome这个Action使用了默认的授权验证,只要登陆成功就可以访问。其他几个Action上都标注了自定义的UserAuthorize,并没有标注Users="....",Roles=".....",因为这样在Action上写死用户或者角色控制权限显然是不可行的,用户和角色的对应以及不同的角色可以操作的Action应该是从数据库里取出来的。为了演示就在SampleData类里初始化了一些用户和角色信息,根据SampleData类的定义,很明显jxl拥有1号管理员角色,可以访问AuthFilters这个控制器下的所有Action;senior1、senior2拥有2号高级会员的角色,可以访问AuthFilters这个控制器下除了AdminUser之外的Action等等。
再次登陆下,就发现拥有高级会员角色的用户senior1是不可以访问AdminUser这个Action,会被带到AuthorizationFailView属性指定的Error视图。
GitHub代码地址:github.com/jxl1024/MVCCustomerFilterDemo
到此这篇关于ASP.NET MVC自定义授权过滤器的文章就介绍到这了。希望对大家的学习有所帮助,也希望大家多多支持自由互联。
本文共计1659个文字,预计阅读时间需要7分钟。
目录
一、授权过滤器
二、示例
1、添加响应实体类
2、添加测试数据
三、新建继承类
四、添加Account控制器
五、修改配置文件
六、添加授权控制器
七、测试Welcome
一、授权过滤器
二、示例
1、添加响应实体类
2、添加测试数据
三、新建继承类
四、添加Account控制器
五、修改配置文件
六、添加授权控制器
七、测试Welcome
总结一、授权过滤器
目录
- 一、授权过滤器
- 二、示例
- 1、添加对应实体类
- 2、添加测试数据
- 3、新建继承类
- 4、添加Account控制器
- 5、修改配置文件
- 6、添加授权控制器
- 三、测试
- 测试Welcome
- 四、总结
一、授权过滤器
授权过滤器用于实现IAuthorizationFilter接口和做出关于是否执行操作方法(如执行身份验证或验证请求的属性)的安全策略。AuthorizeAttribute类继承了IAuthorizationFilter接口,是授权过滤器的示例。授权过滤器在任何其他过滤器之前运行。
如果要自定义授权过滤器,只需要定义一个类继承自AuthorizeAttribute类,然后重写AuthorizeAttribute类里面的方法即可。
二、示例
下面根据一个具体的案例来讲解如何使用自定义过滤器
1、添加对应实体类
User实体类代码如下:
using System; using System.Collections.Generic; using System.Linq; using System.Web; namespace MVCCustomerFilterDemo.Models { public class User { public int Id { get; set; } public string UserName { get; set; } public int RoleId { get; set; } } }
Role实体类代码如下:
using System; using System.Collections.Generic; using System.Linq; using System.Web; namespace MVCCustomerFilterDemo.Models { public class Role { public int Id { get; set; } public string RoleName { get; set; } public string Description { get; set; } } }
RoleWithControllerAction实体类代码如下:
using System; using System.Collections.Generic; using System.Linq; using System.Web; namespace MVCCustomerFilterDemo.Models { public class RoleWithControllerAction { public int Id { get; set; } public string ControllerName { get; set; } public string ActionName { get; set; } public string RoleIds { get; set; } } }
用于展示登录视图的登录用户实体类LogOnViewModel代码如下:
using System; using System.Collections.Generic; using System.ComponentModel; using System.Linq; using System.Web; namespace MVCCustomerFilterDemo.Models { // <summary> /// 用户登录类 /// </summary> public class LogOnViewModel { /// <summary> /// 用户名 /// </summary> [DisplayName("用户名")] public string UserName { get; set; } /// <summary> /// 密码 /// </summary> [DisplayName("密码")] public string Password { get; set; } /// <summary> /// 记住我 /// </summary> [DisplayName("记住我")] public bool RememberMe { get; set; } } }
2、添加测试数据
在程序中模拟数据库中的数据,实际使用中要去数据库查询,代码如下:
using MVCCustomerFilterDemo.Models; using System; using System.Collections.Generic; using System.Linq; using System.Web; namespace MVCCustomerFilterDemo.DataBase { /// <summary> /// 测试数据(实际项目中,这些数据应该从数据库拿) /// </summary> public class SampleData { public static List<User> users; public static List<Role> roles; public static List<RoleWithControllerAction> roleWithControllerAndAction; static SampleData() { // 初始化用户 users = new List<User>() { new User(){ Id=1, UserName="jxl", RoleId=1}, new User(){ Id=2, UserName ="senior1", RoleId=2}, new User(){ Id=3, UserName ="senior2", RoleId=2}, new User(){ Id=5, UserName="junior1", RoleId=3}, new User(){ Id=6, UserName="junior2", RoleId=3}, new User(){ Id=6, UserName="junior3", RoleId=3} }; // 初始化角色 roles = new List<Role>() { new Role() { Id=1, RoleName="管理员", Description="管理员角色"}, new Role() { Id=2, RoleName="高级会员", Description="高级会员角色"}, new Role() { Id=3, RoleName="初级会员", Description="初级会员角色"} }; // 初始化角色控制器和Action对应类 roleWithControllerAndAction = new List<RoleWithControllerAction>() { new RoleWithControllerAction(){ Id=1, ControllerName="AuthFilters", ActionName="AdminUser", RoleIds="1"}, new RoleWithControllerAction(){ Id=2, ControllerName="AuthFilters", ActionName="SeniorUser",RoleIds="1,2"}, new RoleWithControllerAction(){ Id=3, ControllerName="AuthFilters", ActionName="JuniorUser",RoleIds="1,2,3"}, new RoleWithControllerAction(){ Id=3, ControllerName="AuthFilters", ActionName="Welcome",RoleIds="1,2"}, new RoleWithControllerAction(){ Id=4, ControllerName="ActionFilters", ActionName="Index", RoleIds="2,3"}, new RoleWithControllerAction(){ Id=4, ControllerName="ActionPremisFilters", ActionName="Index", RoleIds="2,3"} }; } } }
3、新建继承类
新建一个UserAuthorize类,继承自AuthorizeAttribute类,然后F12转到定义查看AuthorizeAttribute代码,代码如下:
#region 程序集 System.Web.Mvc, Version=5.2.4.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35 // E:\Practice\过滤器\自定义权限过滤器\MVCCustomerFilterDemo\packages\Microsoft.AspNet.Mvc.5.2.4\lib\net45\System.Web.Mvc.dll #endregion namespace System.Web.Mvc { // // 摘要: // 指定对控制器或操作方法的访问只限于满足授权要求的用户。 [AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, Inherited = true, AllowMultiple = true)] public class AuthorizeAttribute : FilterAttribute, IAuthorizationFilter { // // 摘要: // 初始化 System.Web.Mvc.AuthorizeAttribute 类的新实例。 public AuthorizeAttribute(); // // 摘要: // 获取或设置有权访问控制器或操作方法的用户角色。 // // 返回结果: // 有权访问控制器或操作方法的用户角色。 public string Roles { get; set; } // // 摘要: // 获取此特性的唯一标识符。 // // 返回结果: // 此特性的唯一标识符。 public override object TypeId { get; } // // 摘要: // 获取或设置有权访问控制器或操作方法的用户。 // // 返回结果: // 有权访问控制器或操作方法的用户。 public string Users { get; set; } // // 摘要: // 在过程请求授权时调用。 // // 参数: // filterContext: // 筛选器上下文,它封装有关使用 System.Web.Mvc.AuthorizeAttribute 的信息。 // // 异常: // T:System.ArgumentNullException: // filterContext 参数为 null。 public virtual void OnAuthorization(AuthorizationContext filterContext); // // 摘要: // 重写时,提供一个入口点用于进行自定义授权检查。 // // 参数: // localhost:****/AuthFilters/Welcome,会跳转到登录页面,如图所示:
然后输入相同的用户名和密码,点击登录,会显示Welcome对应的页面:
在看一下SampleData中,角色为1,2的也可以访问Welcome方法,用角色1访问Welcome:
点击登录:
从上面的截图中看出:senior1登录成功了,senior1是角色2,证明角色1、2可以访问Welcome方法。在使用junior2登录名访问Welcome方法:
由于junior2的角色是3,而角色3没有访问Welcome方法的权限,所以会跳转到Error页面:
四、总结
Welcome这个Action使用了默认的授权验证,只要登陆成功就可以访问。其他几个Action上都标注了自定义的UserAuthorize,并没有标注Users="....",Roles=".....",因为这样在Action上写死用户或者角色控制权限显然是不可行的,用户和角色的对应以及不同的角色可以操作的Action应该是从数据库里取出来的。为了演示就在SampleData类里初始化了一些用户和角色信息,根据SampleData类的定义,很明显jxl拥有1号管理员角色,可以访问AuthFilters这个控制器下的所有Action;senior1、senior2拥有2号高级会员的角色,可以访问AuthFilters这个控制器下除了AdminUser之外的Action等等。
再次登陆下,就发现拥有高级会员角色的用户senior1是不可以访问AdminUser这个Action,会被带到AuthorizationFailView属性指定的Error视图。
GitHub代码地址:github.com/jxl1024/MVCCustomerFilterDemo
到此这篇关于ASP.NET MVC自定义授权过滤器的文章就介绍到这了。希望对大家的学习有所帮助,也希望大家多多支持自由互联。