AuthorizeFilter篩選器
在Action的執行中包括兩個重要的部分,一個是Action方法本身邏輯代碼的執行,第二個就是Action方法的篩選器的執行。
MVC4中篩選器都是以AOP(面向方面編程)的方式來設計的,通過對Action方法上標註相應的Attribute標籤來實現。MVC4提供了四種篩選器,分別爲:AuthorizationFilter、ActionFilter、ExceptionFilter和ResultFilter,他們分別對應了四個篩選器接口IAuthorizationFilter、IActionFilter、IExceptionFilter和IResultFilter。
這四種篩選器都有派生於一個公共的類FilterAttribute,該類指定了篩選器的執行順序Order和是否允許多個應用AllowedMultiple。這四種篩選器默認的執行順序爲最先進行授權篩選,最後進行異常處理,中間則是ActionFilter和ResultedFilter。
下面是抽象類FilterAttribute的類圖
下面我們來具體列舉一下各個篩選器的作用和實現
從字面上我們就能看出這是對Controller或Action方法授權的篩選器,即在Controller或Action方法執行前,首先會先執行該篩選器,若通過,纔會繼續執行。下面是此篩選器的簡單類圖
AuthorizeAttribute爲最終授權篩選器的實現者,它實現了IAuthorizationFilter接口和FilterAttribute抽象類,接口中的OnAuthorization(AuthorizationContext filterContext)方法是最終驗證授權的邏輯(其中AuthorizationContext是繼承了ControllerContext類)
-
protected virtual bool AuthorizeCore(HttpContextBase httpContext)
-
{
-
if (httpContext == null)
-
{
-
throw new ArgumentNullException("httpContext");
-
}
-
-
IPrincipal user = httpContext.User;
-
if (!user.Identity.IsAuthenticated)
-
{
-
return false;
-
}
-
-
if (_usersSplit.Length > 0 && !_usersSplit.Contains(user.Identity.Name, StringComparer.OrdinalIgnoreCase))
-
{
-
return false;
-
}
-
-
if (_rolesSplit.Length > 0 && !_rolesSplit.Any(user.IsInRole))
-
{
-
return false;
-
}
-
-
return true;
-
}
AuthorizeCore方法是最終OnAuthorization()方法調用的最終邏輯,從代碼可以看出,當同時指定了users和roles時,兩者只有同時滿足條件時纔可以驗證授權通過。如
-
[
-
public ActionResult ActionMethod()
-
{
-
}
則只有用戶zhangsan,且用戶屬於Admin角色時才能驗證授權通過。
若驗證不通過時,OnAuthorization方法內部會調用HandleUnauthorizedRequest
虛方法進行處理,代碼如下:
-
protected virtual void HandleUnauthorizedRequest(AuthorizationContext filterContext)
-
{
-
// Returns HTTP 401 - see comment in HttpUnauthorizedResult.cs.
-
filterContext.Result = new HttpUnauthorizedResult();
-
}
該方法設置了參數上下文中ActionResult的值,用於供View展示。
我們可以自定義Authorize篩選器,由於OnAthurization()、AuthorizeCore()和HandleUnauthorizedRequest()方法都是虛方法,我們自定義的Authorize篩選器只需要繼承AuthorizeAttribute類,重寫以上三種方法,這樣就可以自定義自己的驗證規則和驗證失敗時的處理邏輯了。
IAuthorizationFilter還有其他類型的實現類,如RequireHttpsAttribute、ValidateInputAttribute都是實現了OnAuthorization()方法,來完成各自篩選器處理的。
ExceptionFilter過濾器
該篩選器是在系統出現異常時觸發,可以對拋出的異常進行處理。所有的ExceptionFilter篩選器都是實現自IExceptionFilter接口
-
public interface IExceptionFilter
-
{
-
void OnException(ExceptionContext filterContext);
-
}
實現OnException方法來實現對異常的自定義處理
MVC4中實現了默認的異常處理機制,源碼如下
-
public virtual void OnException(ExceptionContext filterContext)
-
{
-
if (filterContext == null)
-
{
-
throw new ArgumentNullException("filterContext");
-
}
-
if (filterContext.IsChildAction)
-
{
-
return;
-
}
-
-
// If custom errors are disabled, we need to let the normal ASP.NET exception handler
-
// execute so that the user can see useful debugging information.
-
if (filterContext.ExceptionHandled || !filterContext.HttpContext.IsCustomErrorEnabled)
-
{
-
return;
-
}
-
-
Exception exception = filterContext.Exception;
-
-
// If this is not an HTTP 500 (for example, if somebody throws an HTTP 404 from an action method),
-
// ignore it.
-
if (new HttpException(null, exception).GetHttpCode() != 500)
-
{
-
return;
-
}
-
-
if (!ExceptionType.IsInstanceOfType(exception))
-
{
-
return;
-
}
-
-
string controllerName = (string)filterContext.RouteData.Values["controller"];
-
string actionName = (string)filterContext.RouteData.Values["action"];
-
HandleErrorInfo model = new HandleErrorInfo(filterContext.Exception, controllerName, actionName);
-
filterContext.Result = new ViewResult
-
{
-
ViewName = View,
-
MasterName = Master,
-
ViewData = new ViewDataDictionary<HandleErrorInfo>(model),
-
TempData = filterContext.Controller.TempData
-
};
-
filterContext.ExceptionHandled = true;
-
filterContext.HttpContext.Response.Clear();
-
filterContext.HttpContext.Response.StatusCode = 500;
-
-
// Certain versions of IIS will sometimes use their own error page when
-
// they detect a server error. Setting this property indicates that we
-
// want it to try to render ASP.NET MVC's error page instead.
-
filterContext.HttpContext.Response.TrySkipIisCustomErrors = true;
-
}
Application_Start中將HandleErrorAttribute添加到全局篩選器GlobalFilterCollection中,系統即會對異常進行對應的處理。
我們現在實現一個自定義的異常處理篩選器,在處理完後記錄異常信息至日誌文件中
-
public class MyExceptionHandleAttribute : HandleErrorAttribute
-
{
-
public MyExceptionHandleAttribute()
-
: base()
-
{
-
}
-
-
public void OnException(ExceptionContext filterContext)
-
{
-
base.OnException(filterContext);
-
//記錄日誌
-
log.Info(filterContext.Exception);
-
}
-
}
在GlobalFilterCollection添加MyExceptionHandleAttribute 即可使用自定義的異常篩選器來處理
ActionFilter篩選器
ActionFilter篩選器是在Action方法執行前後會觸發,主要用於在Action執行前後處理一些相應的邏輯。ActionFilter的篩選器都繼承於ActionFilterAttribute抽象類,而它實現了IActionFilter、IResultFilter和FilterAttribute類,結構如下
因此自定義ActionFilter篩選器只要繼承ActionFilterAttribute,實現其中的方法即可。
我們來舉一個簡單的例子,獲取Action方法的執行時長,代碼如下
-
public class DefaultController : Controller
-
{
-
[
-
public ActionResult DoWork()
-
{
-
return View();
-
}
-
}
-
-
public class ActionExecTimeSpanAttribute : ActionFilterAttribute
-
{
-
private const string executeActionTimeKey = "ActionExecBegin";
-
-
public override void OnActionExecuting(ActionExecutingContext filterContext)
-
{
-
base.OnActionExecuting(filterContext);
-
//記錄開始執行時間
-
filterContext.HttpContext.Items[executeActionTimeKey] = DateTime.Now;
-
}
-
-
public override void OnActionExecuted(ActionExecutedContext filterContext)
-
{
-
//計算執行時間,並記錄日誌
-
if (filterContext.HttpContext.Items.Contains(executeActionTimeKey))
-
{
-
DateTime endTime = DateTime.Now;
-
DateTime beginTime = Convert.ToDateTime(filterContext.HttpContext.Items[executeActionTimeKey]);
-
TimeSpan span = endTime - beginTime;
-
double execTimeSpan = span.TotalMilliseconds;
-
log.Info(execTimeSpan + "毫秒");
-
}
-
//
-
base.OnActionExecuted(filterContext);
-
}
-
}
ResultFilter篩選器
ResultFilter篩選器是對Action方法返回的Result結果進行執行時觸發的。它也分執行前和執行後兩個段執行
所有的ResultFilter都實現了IResultFilter接口和FilterAttribute類,看一下接口定義
-
public interface IResultFilter
-
{
-
void OnResultExecuting(ResultExecutingContext filterContext);
-
-
void OnResultExecuted(ResultExecutedContext filterContext);
-
}
其中OnResultExecuting和OnResultExecuted方法分別是在Result執行前、後(頁面展示內容生成前、後)觸發。 使用ResultFilter篩選器最典型的應用就是頁面靜態化,我們以後在其他文章中在對此進行詳細講解