[一步一步MVC]第二回:还是ActionFilter,实现对业务逻辑的统一Authorize处理

《你必须知道的.NET》网站 | Anytao技术博客 | anytao.net

发布日期:2009.04.23  作者:Anytao
© 2009 Anytao.com ,Anytao原创作品,转贴请注明作者和出处。

 

由问题引出

在ASP .NET MVC中,以友好的URL访问资源是MVC吸引眼球的特色之一,但是随之而来对于Authorize问题的处理变得令人令人头痛。例如假设我们有一个获取Book信息的Action,定义在BookController中:

public class BookController : Controller
{
    // Release : code01, 2009/04/22                    
    // Author  : Anytao, http://www.anytao.com
    public ActionResult Index(int id)
    {
        Book model = (new IBookService()).GetBook(id);

        return View(model);
    }
}

那么,我们可以通过http://anytao.net/Book/index/1,来访问id为1的Book(例如该书是《你必须知道的.NET》,哈哈,广告嫌疑)。在没有任何特别处理的情况下,对于该书的访问是“不设防”的。任何用户可以通过http://anytao.net/Book/index/1实现对《你必须知道的.NET》信息的访问。那么访问的资源如果是http://anytao.net/Secret/index/1,显然我的秘密无一例外的对外公开了。

言之此处,我们的问题已经明白无疑,那么应该如何处理呢?我们可以很容易的想到通过以下的方式进行处理:

// Release : code02, 2009/04/22                    
// Author  : Anytao, http://www.anytao.com
public ActionResult Index(int id)
{
    if (new IAuthorizeService().IsBookAuthorized(id, User.Identity.Name))
    {
        Book model = (new IBookService()).GetBook(id);

        return View(model);
    }
    else
    {
        return View("NotValid");
    }
}

显然,我通过IsBookAuthorized对GetBook服务的访问有效性进行控制,通过User的Name在数据库或者其他资源存储进行查找, 然后根据IsBookAuthorized结果进行是否访问的控制,显然不合法的用户将被导航到NotValid页,提示你是非法用户。

这种方式显然是最容易想到的办法,而且也广泛存在于我们实际的应用中,例如NerdDinner范例中也是通过这种方式进行Authorize控制处理的,例如:

[Authorize]
public ActionResult Edit(int id) {

    Dinner dinner = dinnerRepository.GetDinner(id);

    if (!dinner.IsHostedBy(User.Identity.Name))
        return View("InvalidOwner");

    return View(new DinnerFormViewModel(dinner));
}

然而这种方式存在或多或少的问题,例如:

  • IsBookAuthorized将分散于不同的Action或者BLL层中,对于统一的Authorized管理带来问题。
  • 实际的Authorized执行已经渗透到Action或者Serivce内部,我们更期待在Action调用之前对此已经进行了处理。

思考的瞬间

那么,统一的处理该如何着手实现更优雅的、更统一的Authorize处理呢?显然MVC自带的Authorize特性,为我们提供了可选择的思路:

[Authorize(Users = "Anytao")]
public ActionResult Edit(int id)
{
    return View();
}

Authorize标记通过对于Users或者Roles的定义,来对Edit Action的执行进行“预”Authorize授权,那么登陆用户为Anytao的用户才有权对BookController Edit进行访问,否则将无权访问。显然,这种方式对于满足我们

  • 统一Authorize处理
  • 在Action调用之前进行授权验证

的目标是统一的。所以,我们可以借助这种方式实现自定义的统一Authorize处理方案。

统一Authorize解决方案

有了指导方针,我们就可以有的放肆了,我们的方案同样是应用ActionFilter实现对Authorize处理,上次的范例是{[一步一步MVC]第四回:使用ActionSelector控制Action的选择}。显然我们可以在OnActionExecuting事件中对Action进行“预”处理,将关于Authorize的验证过程统一在OnActionExecuting中进行,就可以对标记的Action实现调用之前的过滤了,所以我们首先实现一个AuthorizeAttributeBase,例如:

// Release : code03, 2009/04/22                    
// Author  : Anytao, http://www.anytao.com
public abstract class AuthorizeAttributeBase : ActionFilterAttribute
{
    public AuthorizeAttributeBase()
    { 
    }

    public AuthorizeAttributeBase(string key)
    {
        Key = key;
    }

    public override void OnActionExecuting(ActionExecutingContext filterContext)
    {
        // Authorize handler 
    }

    public string Key { get; set; }

    protected abstract bool IsAuthorized(int id);
}

而具体的验证则在具体实现类中,例如我们对Book的验证:

// Release : code04, 2009/04/22                    
// Author  : Anytao, http://www.anytao.com
public class BookAuthorizeAttribute : AuthorizeAttributeBase
{
    protected override bool IsAuthorized(int id)
    {
        return (new IAuthorizeService()).IsBookAuthorized(id);
    }
}

对于验证的处理必须解决两方面的问题:

  • 在AuthorizeAttributeBase中获取待过滤Action中的参数(Index(int id)),一般而言我们需要对id进行验证,那么传入id的值该如何处理。
  • 在AuthorizeAttributeBase对于非法用户的处理,一般而言就是导航到NotValid页面。

在OnActionExecuting中获取Action参数

我们采用的方法是通过filterContext的ActionParameters来获取参数值,通过参数的Key来获取其值,例如:

if (filterContext.ActionParameters.ContainsKey(key))
{
    value = int.Parse(filterContext.ActionParameters[key].ToString());
}

在OnActionExecuting中导航到不同的View

这也是一个简单的处理,我们只要指定好filterContext的Result为指定的ViewResult即可实现我们的目标:

filterContext.Result = new ViewResult{
    ViewName = "NotValid"
};

解决了上述问题,就基本实现了对Authorize进行统一处理的目标,至于具体的Authorize逻辑,不同的业务可以在不同的业务层进行封装。例如对于Book资源的处理可以统一在IBookService中,对于User资源的处理可以统一在IUserService中(不过显然我们已经有了MVC自带的Authorize,不必重复),对于其他的资源也相应的处理在不同的业务层中。

下面是AuthorizeAttributeBase和BookAuthorizeAttribute的完整代码:

// Release : code03, 2009/04/22                    
// Author  : Anytao, http://www.anytao.com
public abstract class AuthorizeAttributeBase : ActionFilterAttribute
{
    public AuthorizeAttributeBase()
    { 
    }

    public AuthorizeAttributeBase(string key)
    {
        Key = key;
    }

    public override void OnActionExecuting(ActionExecutingContext filterContext)
    {
        string key = string.IsNullOrEmpty(Key) ? "id" : Key;

        int id;

        if (filterContext.ActionParameters.ContainsKey(key))
        {
            if (!int.TryParse(filterContext.ActionParameters[key].ToString(), out id))
            {
                id = 0;
            }
        }
        else
        {
            id = 0;
        }

        if (id > 0)
        {
            if (IsAuthorized(id))
            {
                base.OnActionExecuting(filterContext);
            }
            else
            {
                filterContext.Result = new ViewResult{
                    ViewName = "NotValid"
                };


            }
        }
        else
        {
            filterContext.Result = new ViewResult{
                    ViewName = "NotValid"
                };
        }
    }

    public string Key { get; set; }

    protected abstract bool IsAuthorized(int id);
}

接下来就是如何应用了。

在Controller中应用统一Authorize处理

下面是我们的应用,还是对于http://anytao.net/Book/index/1的访问,我们可以像下面这样应用:

// Release : code05, 2009/04/22                    
// Author  : Anytao, http://www.anytao.com
[BookAuthorize(Key="id")]
public ActionResult Index(int id)
{
    Book model = (new IBookService()).GetBook(id);

    return View(model);
}

对比前后的两种方案,我想孰优孰劣显而易见。BookAuthorize显然以更优雅的方式实现了对于Authorize这回事儿的处理,也基本达到了原来的目标。我们的验证逻辑没有散落在系统四处,如何同时需要对Book的Index进行多个逻辑的验证,我们的方式也变得很简单,例如:

// Release : code05, 2009/04/22                    
// Author  : Anytao, http://www.anytao.com
[BookAuthorize(Key="id"), TaskAuthorize(Key="id")]
public ActionResult Index(int id)
{
    Book model = (new IBookService()).GetBook(id);

    return View(model);
}

不过,我们需要对id的复用进行一点思考,不过那已经是另外一回儿事儿了。对本文而言,我已经达到了目标。当然,这也许不是最好的方案,所以我期待您的更好方案,因为技术需要切磋和共享。

又是一个小技巧,希望给你帮助。

 

代码下载[anytao_mvc_actionauthorize],更多关注,尽在anytao.net/blog

 

anytao | © 2009 Anytao.com

2009/04/23 | http://anytao.cnblogs.com/ | http://anytao.net/blog/post/2009/04/23/anytao-mvc-05-actionauthorize.aspx

本文以“现状”提供且没有任何担保,同时也没有授予任何权利。 | This posting is provided "AS IS" with no warranties, and confers no rights.

本文版权归作者所有,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文连接,否则保留追究法律责任的权利。

posted @ 2009-04-23 01:20  Anytao  阅读(8607)  评论(27编辑  收藏  举报