asp.net mvc 身份验证中返回绝对路径的ReturnUrl

在asp.net mvc进行身份验证只用在需要验证的Action或者Controller上标记一个[authorization]即可,如果用户没有登陆,此时将返回的ActionResult是HttpUnauthorizedResult

     public   class  HttpUnauthorizedResult : ActionResult {

         public   override   void  ExecuteResult(ControllerContext context) {
             if  (context  ==   null ) {
                 throw   new  ArgumentNullException( " context " );
            }

             //  401 is the HTTP status code for unauthorized access - setting this
             //  will cause the active authentication module to execute its default
             //  unauthorized handler 
            context.HttpContext.Response.StatusCode  =   401 ;
        }
    }

从HttpUnauthorizedResult的源码可以看出,HttpUnauthorizedResult的执行很简单,就是设置当前的HttpContext.Response的状态码为401,这样就会激活authentication module 执行它默认的 unauthorized handler,也就是跳转到登陆页面的,但是默认的跳转ReturnURL 参数的地址是相对的,这在不同域名下实现单点登录时显然是不能满足我的需要的。

解决的办法就是继承AuthorizeAttribute这个特性,重写OnAuthorization方法

     public   class  ClientAuthorizeAttribute : AuthorizeAttribute
    {
         public   override   void  OnAuthorization(AuthorizationContext filterContext)
        {
             base .OnAuthorization(filterContext);
             if  (filterContext.Result  is  HttpUnauthorizedResult)
            {
                filterContext.Result  =   new  RedirectResult(
                     string .Concat(FormsAuthentication.LoginUrl, 
                                  " ?ReturnUrl= " ,
                                 filterContext.HttpContext.Server.UrlEncode(filterContext.HttpContext.Request.Url.AbsoluteUri)));
            }
           
        }
    }

使用的时候在需要身份验证的Action或者Controller上标记上我们自定义的这个ClientAuthorizeAttribute就行了。

例如:

    [HandleError]
    [ClientAuthorize(Roles  =   " Admin " )]
     public   class  AdminController : Controller
    {
         // 
         //  GET: /Admin/ 

         public  ActionResult Index()
        {
             return  View();
        }
    }
posted @ 2021-01-26 16:58  清语堂  阅读(348)  评论(0编辑  收藏  举报