.Net MVC4 被坑心得(七)filter 身份验证

最新推荐文章于 2021-07-02 10:02:13 发布
最新推荐文章于 2021-07-02 10:02:13 发布
阅读量4.6k 收藏
点赞数
分类专栏: .Net历程 文章标签: .net mvc mvc4 filter
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sslyc8991/article/details/10432763
版权
本文探讨了在MVC框架下如何通过自定义身份验证机制实现更灵活的授权控制,通过创建一个名为CheckAccessAttribute的特性,继承自AuthorizeAttribute并重写了核心验证逻辑。文章详细解释了如何通过自定义的验证方法`CheckCookiesVal`来检查用户的合法性,以及如何处理未授权的请求。此外,还介绍了如何通过属性修饰控制器或操作来忽略某些特定的验证规则。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

    今天使用filter来做身份验证。

    filter本质也是attribute,需要继承自Attribute类,并指定作用范围。但是在mvc中,针对controller和action的filter,一般不直接继承自Attribute,而是继承自FilterAttribute或者其继承类。

    mvc4中实现了验证的特性,AuthorizeAttribute,实现了默认的身份验证。但是这个身份验证,是使用默认的数据连接,不能满足我们的实际要求。我们需要针对自己的系统,创建满足系统健全条件的身份验证。

    查看此特性的定义如下:

    // 摘要:
    //     表示一个特性,该特性用于限制调用方对操作方法的访问。
    [AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, Inherited = true, AllowMultiple = true)]
    public class AuthorizeAttribute : FilterAttribute, IAuthorizationFilter
    {
        // 摘要:
        //     初始化 System.Web.Mvc.AuthorizeAttribute 类的新实例。
        public AuthorizeAttribute();

        // 摘要:
        //     获取或设置用户角色。
        //
        // 返回结果:
        //     用户角色。
        public string Roles { get; set; }
        //
        // 摘要:
        //     获取此特性的唯一标识符。
        //
        // 返回结果:
        //     此特性的唯一标识符。
        public override object TypeId { get; }
        //
        // 摘要:
        //     获取或设置授权用户。
        //
        // 返回结果:
        //     授权用户。
        public string Users { get; set; }

        // 摘要:
        //     重写时,提供一个入口点用于进行自定义授权检查。
        //
        // 参数:
        //   httpContext:
        //     HTTP 上下文,它封装有关单个 HTTP 请求的所有 HTTP 特定的信息。
        //
        // 返回结果:
        //     如果用户已经过授权,则为 true;否则为 false。
        //
        // 异常:
        //   System.ArgumentNullException:
        //     httpContext 参数为 null。
        protected virtual bool AuthorizeCore(HttpContextBase httpContext);
        //
        // 摘要:
        //     处理未能授权的 HTTP 请求。
        //
        // 参数:
        //   filterContext:
        //     封装有关使用 System.Web.Mvc.AuthorizeAttribute 的信息。filterContext 对象包括控制器、HTTP 上下文、请求上下文、操作结果和路由数据。
        protected virtual void HandleUnauthorizedRequest(AuthorizationContext filterContext);
        //
        // 摘要:
        //     在过程请求授权时调用。
        //
        // 参数:
        //   filterContext:
        //     筛选器上下文,它封装有关使用 System.Web.Mvc.AuthorizeAttribute 的信息。
        //
        // 异常:
        //   System.ArgumentNullException:
        //     filterContext 参数为 null。
        public virtual void OnAuthorization(AuthorizationContext filterContext);
        //
        // 摘要:
        //     在缓存模块请求授权时调用。
        //
        // 参数:
        //   httpContext:
        //     HTTP 上下文,它封装有关单个 HTTP 请求的所有 HTTP 特定的信息。
        //
        // 返回结果:
        //     对验证状态的引用。
        //
        // 异常:
        //   System.ArgumentNullException:
        //     httpContext 参数为 null。
        protected virtual HttpValidationStatus OnCacheAuthorization(HttpContextBase httpContext);
    }
    他继承自FilterAttribute并实现了IAuthorizationFilter接口。IAuthorizationFilter接口很简单,只有一个OnAuthorization方法,就是身份验证的主题函数。实现IAuthorizationFilter必须实现该方法。

    AuthorizeAttribute特性实现了OnAuthorization方法,并将其声明为虚函数,理论上说,只需重写OnAuthorization方法,即可实现验证。但是如果那样,何必从AuthorizeAttribute继承,直接写一个特性继承自FilterAttribute,和IAuthorizationFilter接口就好了,又轻量。

    AuthorizeAttribute提供了3个属性和4个方法,4个方法全都是虚函数。我们重点关注AuthorizeCore和HandleUnauthorizedRequest。重载AuthorizeCore方法,实现判断用户是否合法,并返回bool,并重载HandleUnauthorizedRequest实现AuthorizeCore返回false时的处理。

具体代码:

[AttributeUsage(AttributeTargets.Method | AttributeTargets.Class, Inherited = true, AllowMultiple = true)]
    public class CheckAccessAttribute : AuthorizeAttribute
    {
        protected override bool AuthorizeCore(HttpContextBase httpContext)
        {
            return Access.CheckCookiesVal(httpContext.Request.Cookies);
        }

        protected override void HandleUnauthorizedRequest(AuthorizationContext filterContext)
        {
            filterContext.Result = new HttpStatusCodeResult(403);
        }
    }

    若用[CheckAccess]修饰了controller,下面的action可以使用[AllowAnonymous]来忽略验证。

    其中,Access.CheckCookiesVal()是自己定义的用于验证的方法,具体定义如下:

 /// <summary>
    /// 登陆和身份验证具体实现
    /// </summary>
    public class Access
    {
        /// <summary>
        /// 默认密钥
        /// </summary>
        private const string KEY = "!@#$Q";

        /// <summary>
        /// 获取验证码
        /// </summary>
        /// <param name="userID">用户id</param>
        /// <param name="key">密钥</param>
        /// <returns>验证码</returns>
        private static string GenCookieValStr(string userID, string key)
        {
            string source = key + "!!?" + userID + "USB";
            string valStr = Encrypt(source);
            return valStr;
        }

        /// <summary>
        /// 验证cookie
        /// </summary>
        /// <param name="cookies">传入cookie</param>
        /// <param name="key">密钥</param>
        /// <returns>是否通过验证</returns>
        public static bool CheckCookiesVal(HttpCookieCollection cookies, string key = KEY)
        {
            try
            {
                return (cookies["val"].Value == GenCookieValStr(cookies["admin_id"].Value, key));
            }
            catch
            {
                return false;
            }
        }

        /// <summary>
        /// 设置cookie(登陆调用)
        /// </summary>
        /// <param name="cookies">传入cookie</param>
        /// <param name="userID">用户id</param>
        /// <param name="key">密钥</param>
        public static void SetCookies(HttpCookieCollection cookies, string userID, string key = KEY)
        {
            HttpCookie cookie = new HttpCookie("admin_id", userID);
            cookie.Expires = DateTime.Now.AddDays(1);
            cookies.Add(cookie);

            cookie = new HttpCookie("val", GenCookieValStr(userID, key));
            cookie.Expires = DateTime.Now.AddDays(1);
            cookies.Add(cookie);
        }

        /// <summary>
        /// MD5编码
        /// </summary>
        /// <param name="strPwd">待编码字串</param>
        /// <returns>编码结果</returns>
        static public string Encrypt(string strPwd)
        {
            MD5 md5 = new MD5CryptoServiceProvider();
            byte[] data = System.Text.Encoding.UTF8.GetBytes(strPwd);//将字符编码为一个字节序列 
            byte[] md5data = md5.ComputeHash(data);//计算data字节数组的哈希值 
            md5.Clear();
            //输出为字符串
            StringBuilder sb = new StringBuilder();
            for (int i = 0; i < md5data.Length; i++)
            {
                sb.Append(md5data[i].ToString("x").PadLeft(2, '0'));
            }
            return sb.ToString();
        }
    }


ASP.NET MVC中的身份验证
fdyhbycsdn的博客
10-24 1723
传统的登录验证方式,是通过将用户的登录状态信息保存在服务端的Session中,再利用客户端浏览器的Cookie保存SessionID,这样,浏览器每次在向服务端发起请求时,都会携带该Cookie值,服务端可以根据相应的SessionID来获取匹配的Session信息,并进行验证。 但在 ASP.NETMVC中则提供了AuthorizeAttribute类,可以用来限制指定的Controller或Action,只能够被满足授权要求的用户进行访问。 当使用AuthorizeAttribute标记一个Co..
传智播客 .NET面试宝典(2014版)
qq_34573534的博客
09-24 1466
.Net工程师面试笔试宝典 由于这套面试题涉及的范围很泛,很广,很杂,大家不可能一天两天就看完和学完这套面试宝典,即使你已经学过了有关的技术,那么至少也需要一个月的时间才能消化和掌握这套面试宝典,所以,大家应该早作准备,从拿到这套面试宝典之日起,就要坚持在每天闲暇之余学习其中几道题目,日积月累,等到出去面试时,一切都水到渠成,面试时就自然会游刃有余了。 回答问题的思路:先正面叙述一些基本...
ASP.NET MVC4 Froms身份验证(源码下载)
01-09
一直对asp.net最常用的Froms身份验证很疑惑,通过网上查资料发现都是写讲解,很少有源代码提供的,所以自己写了Demo希望可以帮助跟我有一样疑惑的人。 本项目采用VS2013创建。
MVC4 成员资格、 身份验证
热门推荐
路漫漫 修远兮
09-26 1万+
SimpleMembership,成员资格提供程序、 通用的提供者和新的 ASP.NET 4.5 Web 窗体和 ASP.NET MVC 4 模板 ASP.NET MVC 4 互联网模板中添加一些新的、 非常有用的功能,构建 SimpleMembership。这些更改将添加一些很有特色,像很多更简单、 可扩展会员 API 和 OAuth 的支持。但是,新的帐户管理功能需要 SimpleMembe
MVC4 4Filter
weixin_30402085的博客
03-14 113
1. AuthorizationFilter: 从命名上看这个用于完成授权相关的工作。   AuthorizationFilter 实现了 IAuthorizationFilter 接口, 如果我们希望执行Action之前做点什么 就用这个AuthorizationFilter 来实现。 IAuthorizationFilter 接口提供了OnAuthorization 方法来执行...
ASP.NET MVC4 身份认证和授权
wslpeter1987的专栏
03-19 2896
寒假准备对我们团队开发的各个小系统进行整合和重写,由于这些系统需求分析并不够仔细,所以在后期缝缝补补,加上人员交替,使得代码结构凌乱不堪,让我这个有代码洁癖的人难受的要死,所以打算重新梳理,由于我们团队主攻asp.net mvc开发,(我对asp.net mvc的学习和使用是从2开始,到现在我们项目基本用的是3),重新写一遍系统,当然要有点新的尝试,虽然现在asp.net mvc5已发布,但感觉使
.NET进阶八)身份认证与授权/Authrize特性/Filter过滤器
Tiger_shl的博客
05-30 1143
目录 一、身份验证与授权 二、使用Authrize特性实现授权 三、网站错误处理 四、过滤器的使用 一、身份验证与授权 身份认证与Session对象 基于Session保存用户状态和信息 基于Session保存用户状态和信息,比如登录信息,相当于授权 在访问具体页面时,如果检测到没有登录,则禁止用户某些操作 不足之处 Session具有生命周期,超过规定...
普通springmvc项目转换为springboot项目
jijithin
08-21 3785
1.背景说明:近期要做一个支付网关系统,原来的网关系统买的别人的,用的技术比较老webservice,由于现在springboot比较火,关键是很好用,开箱即用,所以决定在原来系统的基础上进行改造。 2.开始动手: 原来的代码结构,如下图:   3.第一步,结构调整,先添加一个新的springboot模块: 从官网http://projects.spring.io/spring-bo...
Web安全期末复习
kaisaooo的博客
07-02 6743
目录前言知识点Web应用开发基础Web信息收集Web漏洞扫描SQL注入文件上传攻击跨站脚本攻击(XSS)跨站请求伪造命令执行漏洞Web Server配置安全认证和授权日志系统构建及日志分析实战与综合简答题复习要点ASP.NET的安全控件web应用系统的数据加密数据库安全通信身份验证日志分析安全配置一套习题 前言 本文用来记录Web安全的复习资料,大部分内容都是从老师ppt的复习范围中节选的,可能不太全,经过考试的心得:有时间的可以多看看,考的比较杂啥都有,但是SQL注入、XSS、文件上传漏洞是重中之重。有
Net知识图谱
dotNET跨平台
10-07 2439
对于Web系统开发来说,Net其实也是有好多知识点需要学的,虽然目前JAVA是主流,就业市场比较大,但Net也在积极的拥抱开源,大Net Core 2 出来了,这无疑给Net开发者带来更大的希望,好了,以下是自己画的知识图,给正在找工作的自己一个时间梳理下,同时也希望给你带来些许帮助,第一次画并鉴于自己知识点有限画的不好,欢迎拍我,我及时纠正,谢谢!   注:图是总-分结构,会针对一个
MVC四大筛选器—ActionFilter&ResultedFilter
zyh_1988的博客
08-17 4325
AuthorizeFilter筛选器 在Action的执行中包括两个重要的部分,一个是Action方法本身逻辑代码的执行,第二个就是Action方法的筛选器的执行。 MVC4中筛选器都是以AOP(面向方面编程)的方式来设计的,通过对Action方法上标注相应的Attribute标签来实现。MVC4提供了四种筛选器,分别为:AuthorizationFilter、ActionFilter、E
ASP.NET MVC Filters 4种默认过滤器的使用【附示例】 数据库常见死锁原因及处理 .NET源码中的链表 多线程下C#如何保证线程安全? .net实现支付宝在线支付 彻头彻尾理...
06-26 383
ASP.NET MVC Filters 4种默认过滤器的使用【附示例】 过滤器(Filters)的出现使得我们可以在ASP.NET MVC程序里更好的控制浏览器请求过来的URL,不是每个请求都会响应内容,只响应特定内容给那些有特定权限的用户,过滤器理论上有以下功能: 判断登录与否或用户权限 决策输出缓存 防盗链 防蜘蛛 本地化与国际化设置 实现动态Act...
AuthorizeFilterAttribute权限验证
06-21 1576
using System; using System.Collections.Generic; using System.Linq; using System.Web; using System.Web.Mvc; namespace MvcTest.Models {     ///     /// 权限拦截     ///     [AttributeUsage(A
ASP.NET Web API 2 使用 AuthorizationFilter(授权过滤器)实现 Basic 认证
weixin_30439031的博客
04-02 748
Ø 前言 在 Web 项目中授权认证方式有很多种,本文主要讲述基于 Basic 的认证方式。这是一种比较简单、常见的认证方式,主要是将请求的用户名和密码进行加密后返回给调用方,比较适合采用用户名、密码授权的项目中,比如:网站系统、后台管理系统、以及前后端分离的 APP 应用等。 1. 首先,来看一下基于 Basic 认证的请求模式 2. 具体实现步骤 1) 首先,新建一个授...
WebApi过滤器:AuthorizationFilterAttribute -> ActionFilterAttribute -> ExceptionFilterAttribute
Ling、bug
10-21 4289
一、权限认证过滤器: public class AuthFilterAttribute : AuthorizationFilterAttribute { public override void OnAuthorization(HttpActionContext actionContext) { //如果用户方位的Action带有...
认识ASP.NET MVC的5种AuthorizationFilter
weixin_34138056的博客
07-02 337
在总体介绍了筛选器及其提供机制(《深入探讨ASP.NET MVC的筛选器》)之后,我们按照执行的先后顺序对四种不同的筛选器进行单独介绍,首先来介绍最先执行的AuthorizationFilter。从命名来看,AuthorizationFilter用于完成授权相关的工作,所以它应该在Action方法被调用之前执行才能起到授权的作用。不仅限于授权,如果我们希望目标Action方法被调用之前中断执行的流...
WebAPI 用ActionFilterAttribute实现token令牌验证与对Action的权限控制
困兽之斗
03-28 1994
先说说用户身份的识别,简单的做了一个token机制。用户登录,后台产生令牌,发放令牌,用户携带令牌访问...1.cache管理类,由于博主使用的HttpRuntime.Cache来存储token,IIS重启或者意外关闭等情况会造成cache清空,只好在数据库做了cache的备份,在cache为空的时候查询数据库是否有cache数据,有则是cache被意外清空,需要重新放在cache中。复制代码复制
Web Api 过滤器之 AuthorizationFilter 验证过滤器
weixin_30700977的博客
02-01 1220
该过滤器是最先执行的过滤器,即使把它放在最后 API [MyActionFilter] [MyExceptionFilter] [MyAuthorize] public void Get() { Trace.WriteLine("还有谁!!!"); } ...
Web APi之认证(Authentication)两种实现方式【二】
极客神殿
02-03 3749
前言上一节我们详细讲解了认证及其基本信息,这一节我们通过两种不同方式来实现认证,并且分析如何合理的利用这两种方式,文中涉及到的基础知识,请参看上一篇文中,就不再叙述废话。序言对于所谓的认证说到底就是安全问题,在Web API中有多种方式来实现安全,【accepted】方式来处理基于IIS的安全(通过上节提到的WindowsIdentity依赖于HttpContext和IIS认证)或者在Web API
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值