利用MVC的过滤器实现url的参数加密和解密

　　最近在与一个IOS应用做接口对接，之前一直都没有遇到什么很大的问题，但是有一天发现可以通过软件解析app的url，然后直接通过url的拼接修改接口数据，这一下使得数据的安全性和准确性都降低了，于是就想到了url加密。

　　然后在网上查了一下url的加密算法，使用比较普遍的还是Base64的加密，但是对于如何实现加密，网上的资料确不多，可能是我搜索的关键词不对。既然没有现成的参考文件，那么就只能靠自己了。因为所有的Controller都继承一个基Controller，所以比较自然的想到在基Controller中做一些操作，由于需要在执行具体的Action之前对url中的参数进行解密处理，所以联想到了做Asp.net项目时使用的IHttpModule接口，不过MVC有个更好的功能，那就是过滤器Filter，mvc总共提供了四种默认的Filter接口，IAuthorizationFilter、IActionFilter、IResultFilter和IExceptionFilter，关于这四种Filter的执行时间和使用方法网络上有很多，这里就不赘述了。下面就我的摸索过程做一个说明，也供大家参考，如果大家有更好的方法，还望不吝告知。

　　要想能够解密Url的参数，首先需要获取的HttpRequest传递过来的参数。首先创建一个Filter，我暂且命名为DecodeUrlFitler，继承至ActionFilterAttribute，这个类已经继承了IActionFilter接口，它有四个抽象方法，分别是OnActionExecuted（在action执行完后执行）、OnActionExecuting（在action执行前执行）、OnResultExecuted（在view视图渲染之后执行）、OnResultExecuting（在view视图渲染之前执行）。很明显，我们需要重写OnActionExecuting方法，在action执行之前，将url中的参数进行解密。

第一步：获取Url中的查询参数

　　获取查询参数后，如果你仔细观察，会发现Base64格式的参数有时是经过UrEncode的，所以为了之后能够准确的进行Base64的解码，我们需要将参数进行UrlDecode处理。

public class AppActionFilter : ActionFilterAttribute
{
　　public override void OnActionExecuting( ActionExecutingContext filterContext )
　　{
　　　　HttpRequestBase bases = (HttpRequestBase) filterContext.HttpContext.Request;
　　　　string url = bases.RawUrl.ToString().ToLower();
　　　　//获取url中的参数
　　　　string queryString = bases.QueryString.ToString();
　　　　//对获取到的参数进行UrlDecode处理
　　　　queryString = HttpUtility.UrlDecode(queryString);

　　}
}

 获取参数和处理在博客园现在有很多文章都介绍了，在msdn中查看一下类型的方法，上面的代码就可以很容易写出来，比较困难的是如何将解析后的url参数替换之前的参数，然后跳转到相应的action中，然后将执行的结果返回到客户端。我在这个问题上摸索了好久，最终找到了比较好的一个方法，下面就来说说我摸到的几块石头。

第二步：url的跳转

第一块石头：使用RedirectResult

　　一开始想到的是重新拼url，将解析出来的参数拼接成一个完整的url，获取url的路径可以使用HttpRequestBase的FilePath属性获取到路径，然后获取到domain，在加上解密的queryString就可以拼接成一条完整的url了。但是如果你查看浏览器的报文，会发现这其实是进行了一个url的重定向，如果这样的话，我们url加密的目的就没有实现了，url重定向，会将解密的url传递到客户端，这就让我们的url暴露了，这完全和我们的设想相反，果断放弃。

第二块石头：使用IHttpHandler

　　之后查资料时，有提到使用IhttpHandler的ProcessRequest处理web请求的。

filterContext.RequestContext.HttpContext.RewritePath(url);//url为虚拟路径
IHttpHandler httpHandler = new MvcHttpHandler();
httpHandler.ProcessRequest(System.Web.HttpContext.Current);

这样也可以达到目的，但是如果你的action参数有非string类型的，那么在执行这个方法时会报错，虽然你看不到，但是你在Global.asax.cs的Application_Error方法中使用Server.GetLastError().GetBaseException();捕获异常，你会发现类似xxxxxx方法需要的int类型的参数，但是传递过来的是string类型等等。功能虽然实现了，但是看着就是不爽，所以继续摸索下一个方案。

第三块石头：使用ActionParameters修改context的参数

　　写代码就是要要耐心，经过我漫长的摸索，我发现没有加密的url时，ActionExecutingContext的ActionParameters属性就是url的查询参数集合，是一个Dictionary<string,object>的类型；但是如果对url进行加密，ActionParameters的参数集合里面只有key，没有value，所以我就想，能不能通过修改ActionParameters里面的值，然后在带调用其父类ActionFilterAttribute的OnActionExecuting方法，话不多说，贴出实现的代码。

//获取访问Action参数的描述，主要是参数的类型和参数名称
　　　　　　　　　　　　　ParameterDescriptor[] pds = filterContext.ActionDescriptor.GetParameters();
 2                     
 3                     //重新填充参数
 4                     string paramName = "";
 5                     string paramValue = "";
 6                     foreach (string param in parameters)
 7                     {
 8                         paramName = param.Split('=')[0];
 9                         paramValue = HttpUtility.UrlDecode(param.Split('=')[1]);
10                         foreach (ParameterDescriptor pd in pds)
11                         {
12                             if (paramName == pd.ParameterName)
13                             {
14                                 //判断参数的类型，如果是整形的数据，那么将参数转换成整形数据
15                                 if (pd.ParameterType.Name.ToLower() == "int32" || pd.ParameterType.Name.ToLower() == "nullable`1")
16                                 {
17                                     filterContext.ActionParameters.Add(paramName, Convert.ToInt32(paramValue));
18                                 }
19                                 else
20                                 {
21                                     filterContext.ActionParameters.Add(paramName, paramValue);
22                                 }
23                                 break;
24                             }
25                         }
26 
27                     }
28                 }
29                 base.OnActionExecuting(filterContext);

 

　　不过下面和大家分享一下，使用参数替换过程中遇到的问题和值得注意的几点。

　　1、在添加参数之前，一定要先使用Clear()方法清楚默认生成的参数，不然重新添加参数时，会出现“字典中已经存在此key的值”；还有一种的方法就是遍历传递过来的参数和ActionParameters的中的参数，替换参数的值。

　　2、第二点要注意的是参数的类型，参数的类型和名称可以通过ActionDestriptor方法获取，如果传递的参数类型与Action定义的参数类型不一致，会引发参数类型不一致的异常。

　　3、最后要注意的可空类型的参数，如果action的参数饱含可空类型的非空类型的参数，当可空参数有值时，那么其余的所有参数都要传递，并且赋值。最简单的办法就是遍历ActionDestriptor的参数，将所有的参数都加到ActionParameters中并附上值。

//如果饱含可空参数，那么需要不可空的并且不在请求参数列表中的参数添加到参数列表，否则会报错 
30                     foreach (ParameterDescriptor pd in pds)
31                     {
32                         if (!filterContext.ActionParameters.Keys.Contains(pd.ParameterName))
33                         {
34                             if (pd.ParameterType.Name.ToLower() == "nullable`1")
35                             {
36                                 filterContext.ActionParameters.Add(pd.ParameterName, null);
37                             }
38                             else if (pd.DefaultValue == null)
39                             {
40                                 filterContext.ActionParameters.Add(pd.ParameterName, "");
41                             }
42                             else
43                             {
44                                 filterContext.ActionParameters.Add(pd.ParameterName, pd.DefaultValue);
45                             }
46                         }
47                     }

 

　　还有一种方法是构建路由表，不过我没有尝试过，有兴趣的可以试下。 　　

　　如果大家有更好的方法和建议，欢迎更贴拍砖。