使用IHttpHandler做權限控制

前言

     在對項目制定權限控制方案的時候往往有幾種方案，比如讓所有的ASPX頁繼承一個自定義的PageBase頁，而這個頁再繼承System.Web.UI.Page;另外一種就是使用IHttpModule了。我們先來比較兩種方案以及適用性，第一種方案是比較理想也實際運用中比較多的，但是經常會碰到我們突然加入一個項目(可能比較糟糕的)，他們一開始就沒有這方面的考慮，後來才考慮增加的，此時你發現頁面已經到了2百個甚至更多，讓每個頁面重新繼承至PageBase工作量比較大，改動比較多就不太方便了(仍然是比較推薦的)；可能此時已經想到偷懶的辦法用IHttpModule，但是我不得不說性能實在堪憂，任何頁面包括用戶控件都會過來請求一次，打斷點調試你就會發現，如果頁面上有3個用戶控件，那多IHttpModule訪問應該在4次或4次以上，再加上Ajax訪問，其他不要控制的頁面也被強制控制了，雖然默認也會訪問但是實在是不太理想！！早之前我就一直想用IHttpHandler來做權限控制的，但是發現沒有Java裏面的過濾器好用，他不會繼續你的請求，需要你自己來指定下一步再怎麼做，到底是跳轉到其他頁呢還是直接返回文件流呢由你來決定，一般用來做防盜鏈、頁面重定向比較好。我比較喜歡IHttpHandler就是他能起到控制指定文件夾內訪問截獲，這樣我們就可以對指定的文件夾進行訪問控制了，接下來我給大家分析下到底如何實現以及遇到的問題，及其解決辦法。

 

感謝

     [分享]在自定義的HttpHandler中調用.net默認HttpHandler的方法

      沒有這篇文章的解決辦法就沒有我這篇文章了，再次感謝！！

 

正文

     Web.Config配置如下:

<add verb="POST,GET" path="/page/*.aspx,/page/*/*.aspx,/page/*/*/*.aspx,/page/*/*/*/*.aspx,/page/*/*/*/*/*.aspx" type="WebLibrary.PowerManage.HttpHanderPowerControls"/>

     整個IHttpHandler實現代碼如下:

    /// <summary>
    /// 本HttpHanderPowerControls可以控制權限，但是在使用AjaxPro的時候AjaxPro.Utility.RegisterTypeForAjax需要指定第二個參數，否則會報錯
    ///     如:AjaxPro.Utility.RegisterTypeForAjax(typeof(_Default),Page);
    /// </summary>
    public class HttpHanderPowerControls : IHttpHandler, IRequiresSessionState
    {

        /// <summary>
        ///  獲取一個值，該值指示其他請求是否可以使用 System.Web.IHttpHandler 實例。
        /// </summary>
        public bool IsReusable
        {
            get { return true; }
        }

        public void ProcessRequest(HttpContext context)
        {
            HttpSessionState session = context.Session;
            //權限判斷
            if (session["uname"] != null && !string.IsNullOrEmpty(session["uname"].ToString()))
            {
                //Type type = BuildManager.GetCompiledType(path);
                //ASP.NET 1.1使用以下語句獲得IHttpHandler
                //context.Server.Transfer(PageParser.GetCompiledPageInstance(path, context.Request.PhysicalPath, context),true);
                //AjaxPro.Utility.RegisterTypeForAjax(type, handler as Page);
                context.Server.Transfer(BuildManager.CreateInstanceFromVirtualPath(context.Request.Path, typeof(Page)) as IHttpHandler, true);
            }
            else
            {
                context.Server.Transfer("/login.aspx");
            }
        }
    }

 

     代碼說明：

               1.     這裏我只截獲.aspx的文件請求訪問，所以CreateInstanceFromVirtualPath第二個參數指定成typeof(Page)就行了，當然也可以用BuildManager.GetCompiledType(path)獲得它的Type，調試的時候我發現這行代碼比較費時間，而且也不需要就直接用了Page了

               2.     BuildManager.CreateInstanceFromVirtualPath 方法 MSDN說法:處理給定了虛擬路徑的文件，並創建結果的實例。      [分享]在自定義的HttpHandler中調用.net默認HttpHandler的方法 提供的是我註釋掉的部分，是ASP.NET 1.1使用，當然2.0下也能使用！

     流程說明:

               用戶訪問根目錄下/page目錄下的aspx頁面，將被HttpHanderPowerControls截獲，在ProcessRequest裏進行權限判斷，如果有權限的話繼續執行頁面(手動創建編譯指定的頁面的實例)；如果沒有權限，跳轉到login頁面。

 

注意問題:

     1.     在使用AjaxPro的時候AjaxPro.Utility.RegisterTypeForAjax需要指定第二個參數，例如:AjaxPro.Utility.RegisterTypeForAjax(typeof(_Default),Page);

             指定爲Page就行了，否則會報錯顯示類型轉換失敗！

     2.     path的匹配問題，他不能匹配子目錄內的文件，支持簡單的*、？通配符，例如：/page/*  -> 就只能匹配page目錄下的文件 /page/*/* -> 能匹配page目錄下任意一級子目錄下的文件。

     3.     在使用驗證碼的時候注意了，如果也是用Page頁返回並且在權限控制範圍內的話注意要過濾掉！

 

遺留問題:

     1.     這樣做到底會不會造成性能上的損害？！

     2.     對於屬性IsResult仍然持不理解狀態！

 

結束

     歡迎大家交換意見，繼續探索權限控制方面在ASP.NET中的解決方案:)

 

From:http://www.cnblogs.com/over140/archive/2008/11/13/1332384.html