Asp.net Mvc 身份验证、异常处理、权限验证(拦截器)

本问主要介绍asp.net的身份验证机制及asp.net MVC拦截器在项目中的运用。现在让我们来模拟一个简单的流程:用户登录》权限验证》异常处理。

1、用户登录

验证用户是否登录成功步骤直接忽略,用户登录成功后怎么保存当前用户登录信息(session,cookie),本文介绍的是身份验证(其实就是基于cookie)的,下面看看代码。

引入命名空间

using System.Web.Security;
Users ModelUser = new Users() { ID = 10000, Name = UserName, UserName = UserName, PassWord = PassWord, Roles = "admin" };//用户实体
string UserData = SerializeHelper.Instance.JsonSerialize<Users>(ModelUser);//序列化用户实体

//保存身份信息,参数说明可以看提示
FormsAuthenticationTicket Ticket = new FormsAuthenticationTicket(1, UserName, DateTime.Now, DateTime.Now.AddHours(12), false, UserData); HttpCookie Cookie = new HttpCookie(FormsAuthentication.FormsCookieName, FormsAuthentication.Encrypt(Ticket));//加密身份信息,保存至Cookie Response.Cookies.Add(Cookie);

现在身份信息就保存到cookie中了,如果有场景需要用到当前用户的用户ID或者别的信息的时候该怎么办呢?

那么,我们重新在cookie中获取身份信息,然后解密,再反序列化成用户实体就OK了。

        /// <summary>
        /// 获取用户登录信息
        /// </summary>
        /// <returns></returns>
        public Users GetUser()
        {
            if (HttpContext.Current.Request.IsAuthenticated)//是否通过身份验证
            {
                HttpCookie authCookie = HttpContext.Current.Request.Cookies[FormsAuthentication.FormsCookieName];//获取cookie
                FormsAuthenticationTicket Ticket = FormsAuthentication.Decrypt(authCookie.Value);//解密
                return SerializeHelper.Instance.JsonDeserialize<Users>(Ticket.UserData);//反序列化
            }
            return null;
        }

2、权限验证

这里用到的是MVC中的action拦截器(重写OnActionExecuting),在action执行之前会先运行拦截器中的代码。这里同时可以身份验证是否过期。

    /// <summary>
    /// 权限验证
    /// </summary>
    public class AuthAttribute : ActionFilterAttribute
    {
        /// <summary>
        /// 角色名称
        /// </summary>
        public string Code { get; set; }

        /// <summary>
        /// 验证权限(action执行前会先执行这里)
        /// </summary>
        /// <param name="filterContext"></param>
        public override void OnActionExecuting(ActionExecutingContext filterContext)
        {
            //如果存在身份信息
            if (!HttpContext.Current.User.Identity.IsAuthenticated)
            {
                ContentResult Content = new ContentResult();
                Content.Content = string.Format("<script type='text/javascript'>alert('请先登录!');window.location.href='{0}';</script>", FormsAuthentication.LoginUrl);
                filterContext.Result = Content;
            }
            else
            { 
                string[] Role = CheckLogin.Instance.GetUser().Roles.Split(',');//获取所有角色
                if (!Role.Contains(Code))//验证权限
                {
                    //验证不通过
                    ContentResult Content = new ContentResult();
                    Content.Content = "<script type='text/javascript'>alert('权限验证不通过!');history.go(-1);</script>";
                    filterContext.Result = Content;
                }
            }
        }
    }

那么在action中怎么去调用呢?这里贴出HomeController中的代码来看下。

    public class HomeController : BaseController
    {
        [AuthAttribute(Code = "admin")]//验证通过(这个action只允许admin查看)
        public ActionResult Index()
        {
            Users ModelUser = CheckLogin.Instance.GetUser();
            return View(ModelUser);
        }

        [AuthAttribute(Code = "user")]//验证不通过
        public ActionResult Index2()
        {
            return View();
        }

        [AuthAttribute(Code = "admin")]//验证通过,发生异常
        public ActionResult Index3()
        {
            return View();
        }
    }

这样就可以把权限控制到action了。

3、异常处理

上面HomeController并不是继承Controller,而是继承我们自己定义的一个BaseController,那么我们来看看BaseController中有写什么东西?

    [ErrorAttribute]
    public class BaseController : Controller
    {
        //所有Controller都继承BaseController,则都会进行异常捕获
    }

在这里BaseController只做了一件事情,就是增加了一个ErrorAttribute的错误拦截器,那么只要是在Controller中发生的异常都会在ErrorAttribute中进行处理,你可以记录到数据库等操作。那么我们看看ErrorAttribute是怎么工作的。

    /// <summary>
    /// 错误日志(Controller发生异常时会执行这里)
    /// </summary>
    public class ErrorAttribute : ActionFilterAttribute, IExceptionFilter
    {
        /// <summary>
        /// 异常
        /// </summary>
        /// <param name="filterContext"></param>
        public void OnException(ExceptionContext filterContext)
        {
            //获取异常信息,入库保存
            Exception Error = filterContext.Exception;
            string Message = Error.Message;//错误信息
            string Url = HttpContext.Current.Request.RawUrl;//错误发生地址

            filterContext.ExceptionHandled = true;
            filterContext.Result = new RedirectResult("/Error/Show/");//跳转至错误提示页面
        }
    }

在这里可以把异常捕获,然后跳转到友好的错误提示页面。在MVC中几个操作就可以这样简单的完成了,关于代码在文章下面会提供下载。

 

  实例代码

posted @ 2012-10-26 17:04  CHild.  阅读(16091)  评论(23编辑  收藏  举报