深入了解 Authorize 和 AllowAnonymous
来源:互联网 发布:php工作流引擎原理 编辑:程序博客网 时间:2024/06/06 00:18
Chapter 0 - Intro
最近做的一个项目的时候,自定义授权 Attribute 来区分用户权限,我的项目不太大,权限控制也不是很复杂,只涉及到匿名、普通用户、超级管理员。 权限验证方式使用的是默认的 MemberShip 认证结合自己自定义的 权限验证 Filter。
Chapter 1 - 自定义 Filter V1.0
Filter代码 V1.0
/// <summary>/// 不需要登录即可访问/// </summary>public class NoPermissionRequiredAttribute : ActionFilterAttribute{ public override void OnActionExecuting(ActionExecutingContext filterContext) { base.OnActionExecuting(filterContext); }}/// <summary>/// 需要登录才能进行操作/// </summary>public class PermissionRequiredAttribute : ActionFilterAttribute{ public override void OnActionExecuting(ActionExecutingContext filterContext) { if (filterContext.HttpContext.Session["User"]==null) { filterContext.Result = new RedirectResult("~/Admin/Account/Login"); } base.OnActionExecuting(filterContext); }}/// <summary>/// 需要有超级管理员权限/// </summary>public class AdminPermissionRequiredAttribute : ActionFilterAttribute{ public override void OnActionExecuting(ActionExecutingContext filterContext) { if ((filterContext.HttpContext.Session["User"] == null) || !((filterContext.HttpContext.Session["User"] as Models.User).IsSuper)) { filterContext.Result = new RedirectResult("~/Admin/Account/Login"); } base.OnActionExecuting(filterContext); }}
Chapter 2 - 控制器引用 Filter
控制器代码中引用Filter 代码:
[Authorize][Filters.PermissionRequired]public class AccountController : BaseAdminController{ /// <summary> /// 登录页面 /// </summary> /// <returns></returns> [AllowAnonymous] [Filters.NoPermissionRequired] [HttpGet] public ActionResult Login(string ReturnUrl) { if (!Url.IsLocalUrl(ReturnUrl)) { ReturnUrl = "/Admin/Home/Index"; } if (Helpers.AuthFormService.TryAutoLogin()) { return Redirect(ReturnUrl); } return View(); } /// <summary> /// 账户首页 /// </summary> /// <returns></returns> public ActionResult Index() { Models.User u = Session["User"] as Models.User; return View(u); }}
Chapter 3 - 运行代码
开始调试代码,访问这个 Login
Action 时就直接崩了,一直在重定向到登录页面。 于是就想为什么会出现这样的情况呢,只使用 [Authorize]
和 [AllowAnonymous]
的时候是不会出现这种问题的, 但是为什么自定义 Filter 的时候会出现这样的问题呢,是哪里出现的问题呢。
首先自带的[Authorize]
和 [AllowAnonymous]
是基于 就近原则 的,离的越近的 Filter 的权限越高会覆盖掉父级定义的 Filter。 但是自定义的 Filter 却并没有依照 就近原则 这一原则来控制权限,所以可能内部并不是靠判断哪个 Filter 离得近就用哪个 Filter的,下一步反编译 MVC 代码,看 MVC 是怎么样处理 [Authorize]
和 [AllowAnonymous]
的
Chapter 4 - 反编译分析出现问题的原因
利用 .Net 反编译工具 Reflector 或 JustDecompile反编译 System.Web.Mvc.dll ,在命名空间 System.Web.Mvc 下可以找到 Authorize
和 AllowAnonymous
的定义,如下图所示:
AllowAnonymous定义:
Authorize定义
通过上面的 Authorize.OnAuthorization 方法的定义基本可以知道问题出现在哪里了,Authorize 在进行权限验证的时候会判断当前请求的 Controller 和 Action 上是否有 AllowAnonymous 定义,如果有定义则不进行验证,跳过验证,只有在 当前请求的 Controller 和 Action 上都没有 AllowAnonymous 时才会进行权限验证。
Chapter 5 - 自定义 Filter V2.0
知道问题出现在哪里了,就开始修改自定义的 Filter 代码吧,修改之后的代码如下所示:
/// <summary>/// 需要登录才能进行操作/// </summary>public class PermissionRequiredAttribute : ActionFilterAttribute{ public override void OnActionExecuting(ActionExecutingContext filterContext) { if (!filterContext.ActionDescriptor.IsDefined(typeof(NoPermissionRequiredAttribute),true)) { if (filterContext.HttpContext.Session["User"] == null) { filterContext.Result = new RedirectResult("~/Admin/Account/Login"); } } base.OnActionExecuting(filterContext); }}
修改之后再次进行调试,导航到登录页面就不会再出现重定向的问题,就实现了按 就近原则 来决定 Filter 的优先级的自定义的 Filter 了。
- 深入了解 Authorize 和 AllowAnonymous
- Part 70 - Authorize and AllowAnonymous action filters in mvc
- 深入了解字符集和编码
- 深入了解字符集和编码
- 深入了解字符集和编码
- 深入了解字符集和编码
- 深入了解字符集和编码
- 深入了解字符集和编码
- 深入了解MSB和LSB
- 深入了解字符集和编码
- 深入了解HashCode和Equals
- 深入了解字符集和编码
- 深入了解字符集和编码
- 深入了解字符集和编码
- 深入了解字符集和编码
- 深入了解字符集和编码
- 深入了解字符集和编码
- 深入了解字符集和编码
- 解决Package Control:There are no packages available for installation (sublime Text3)
- WebLogic使用总结(二)——WebLogic卸载
- ConcurrentHashMap原理分析
- iOSOpenDev环境
- linux学习
- 深入了解 Authorize 和 AllowAnonymous
- 定时任务调度工具之Timer(四)
- Bash Remote Code Execution (Shellshock)
- MATLAB、C/C++中的对数表示
- ReentrantReadWriteLock读写锁
- Mac终端里神秘的bogon
- python编码:循环添加字符串的效率改进
- Message小结
- 设计模式六大原则