说一说MVC的Authentication过滤(四)
前沿:
一般情况下,在我们做访问权限管理的时候,会把用户的正确登录后的基本信息保存在Session中,以后用户每次请求页面或接口数据的时候,拿到
Session中存储的用户基本信息,查看比较他有没有登录和能否访问当前页面。
Session的原理,也就是在服务器端生成一个SessionID对应了存储的用户数据,而SessionID存储在Cookie中,客户端以后每次请求都会带上这个
Cookie,服务器端根据Cookie中的SessionID找到存储在服务器端的对应当前用户的数据。
FormsAuthentication是微软提供给我们开发人员使用,做身份认证使用的。通过该认证,我们可以把用户Name 和部分用户数据存储在Cookie中,
通过基本的条件设置可以,很简单的实现基本的身份角色认证。
1.配置项
在网站根目录配置web.config
<authentication> <forms name=".ASPXAUTH" loginUrl="account/index" defaultUrl="http://www.baidu.com" protection="All" timeout="30" path="/" requireSSL="false" slidingExpiration="true" enableCrossAppRedirects="false" cookieless="UseDeviceProfile" domain="" ></forms> </authentication>
2.控制器代码
public class accountController : Controller { // GET: account public ActionResult Index() { return View(); } [Authentication] public ActionResult Demo() => View(); [HttpPost] [ValidateAntiForgeryToken] public ActionResult Index(string username,string userpwd) { List<LoginVm> userlist = new List<LoginVm>()//模拟数据 { new LoginVm() { name="Zara", pwd="123456",State=1}, new LoginVm(){name="aaaa",pwd="666666",State=0} }; if (!ModelState.IsValid) { return View(); } bool status = Request.IsAuthenticated; LoginVm vm = userlist.FirstOrDefault(u => u.name == username && u.pwd == userpwd); JavaScriptSerializer serial = new JavaScriptSerializer(); //判断是否存在 且状态ok if (vm!=null) { if (vm.State==0)Content("您倍封号"); FormsAuthenticationTicket authTicket = new FormsAuthenticationTicket( 1, vm.name, DateTime.Now, DateTime.Now.AddMinutes(30), false, serial.Serialize(vm)); string encrytedTicket = FormsAuthentication.Encrypt(authTicket);//创建票据 //响应客户端 HttpCookie authCookie = new HttpCookie(FormsAuthentication.FormsCookieName,encrytedTicket); HttpContext.Response.Cookies.Add(authCookie); } return View(); } }
3.过滤器方面
/// <summary> /// 该过滤器为网站提供服务 /// 服务内容:行为添加标记即可进行过滤.不用在每个action中进行过滤! /// </summary> public class AuthenticationAttribute: ActionFilterAttribute { public override void OnActionExecuting(ActionExecutingContext filterContext) { if (!filterContext.RequestContext.HttpContext.Request.IsAuthenticated) { if (filterContext.HttpContext.Request.IsAjaxRequest()) { filterContext.Result = new JsonResult { Data = new { Status = -1, Message = "登录过期,请重新登录!" }, JsonRequestBehavior = JsonRequestBehavior.AllowGet }; } else { FormsAuthentication.RedirectToLoginPage();//重定向会登录页 } } else { var cookie = filterContext.HttpContext.Request.Cookies[FormsAuthentication.FormsCookieName]; //解密用户票据 var ticket = FormsAuthentication.Decrypt(cookie.Value); //将密文映射到实体模型 LoginVm admin = new JavaScriptSerializer().Deserialize<LoginVm>(ticket.UserData); //将数据放到ViewData里 方面页面使用 filterContext.Controller.ViewData["username"] = admin.name; filterContext.Controller.ViewData["userpwd"] = admin.pwd; } //Don't forget this one base.OnActionExecuting(filterContext); } }
我们可以在aciton行为中添加需要登录的视图,这样封装一起就不用一个一个在控制器搞了...