前言
在對項目制定權限控制方案的時候往往有幾種方案,比如讓所有的ASPX頁繼承一個自定義的PageBase頁,而這個頁再繼承System.Web.UI.Page;另外一種就是使用IHttpModule了。我們先來比較兩種方案以及適用性,第一種方案是比較理想也實際運用中比較多的,但是經常會碰到我們突然加入一個項目(可能比較糟糕的),他們一開始就沒有這方面的考慮,後來才考慮增加的,此時你發現頁面已經到了2百個甚至更多,讓每個頁面重新繼承至PageBase工作量比較大,改動比較多就不太方便了(仍然是比較推薦的);可能此時已經想到偷懶的辦法用IHttpModule,但是我不得不說性能實在堪憂,任何頁面包括用戶控件都會過來請求一次,打斷點調試你就會發現,如果頁面上有3個用戶控件,那多IHttpModule訪問應該在4次或4次以上,再加上Ajax訪問,其他不要控制的頁面也被強制控制了,雖然默認也會訪問但是實在是不太理想!!早之前我就一直想用IHttpHandler來做權限控制的,但是發現沒有Java裏面的過濾器好用,他不會繼續你的請求,需要你自己來指定下一步再怎麼做,到底是跳轉到其他頁呢還是直接返回文件流呢由你來決定,一般用來做防盜鏈、頁面重定向比較好。我比較喜歡IHttpHandler就是他能起到控制指定文件夾內訪問截獲,這樣我們就可以對指定的文件夾進行訪問控制了,接下來我給大家分析下到底如何實現以及遇到的問題,及其解決辦法。
感謝
[分享]在自定義的HttpHandler中調用.net默認HttpHandler的方法
沒有這篇文章的解決辦法就沒有我這篇文章了,再次感謝!!
正文
Web.Config配置如下:
整個IHttpHandler實現代碼如下:
/// 本HttpHanderPowerControls可以控制權限,但是在使用AjaxPro的時候AjaxPro.Utility.RegisterTypeForAjax需要指定第二個參數,否則會報錯
/// 如:AjaxPro.Utility.RegisterTypeForAjax(typeof(_Default),Page);
/// </summary>
public class HttpHanderPowerControls : IHttpHandler, IRequiresSessionState
{
/// <summary>
/// 獲取一個值,該值指示其他請求是否可以使用 System.Web.IHttpHandler 實例。
/// </summary>
public bool IsReusable
{
get { return true; }
}
public void ProcessRequest(HttpContext context)
{
HttpSessionState session = context.Session;
//權限判斷
if (session["uname"] != null && !string.IsNullOrEmpty(session["uname"].ToString()))
{
//Type type = BuildManager.GetCompiledType(path);
//ASP.NET 1.1使用以下語句獲得IHttpHandler
//context.Server.Transfer(PageParser.GetCompiledPageInstance(path, context.Request.PhysicalPath, context),true);
//AjaxPro.Utility.RegisterTypeForAjax(type, handler as Page);
context.Server.Transfer(BuildManager.CreateInstanceFromVirtualPath(context.Request.Path, typeof(Page)) as IHttpHandler, true);
}
else
{
context.Server.Transfer("/login.aspx");
}
}
}
代碼說明:
1. 這裏我只截獲.aspx的文件請求訪問,所以CreateInstanceFromVirtualPath第二個參數指定成typeof(Page)就行了,當然也可以用BuildManager.GetCompiledType(path)獲得它的Type,調試的時候我發現這行代碼比較費時間,而且也不需要就直接用了Page了
2. BuildManager.CreateInstanceFromVirtualPath 方法 MSDN說法:處理給定了虛擬路徑的文件,並創建結果的實例。 [分享]在自定義的HttpHandler中調用.net默認HttpHandler的方法 提供的是我註釋掉的部分,是ASP.NET 1.1使用,當然2.0下也能使用!
流程說明:
用戶訪問根目錄下/page目錄下的aspx頁面,將被HttpHanderPowerControls截獲,在ProcessRequest裏進行權限判斷,如果有權限的話繼續執行頁面(手動創建編譯指定的頁面的實例);如果沒有權限,跳轉到login頁面。
注意問題:
1. 在使用AjaxPro的時候AjaxPro.Utility.RegisterTypeForAjax需要指定第二個參數,例如:AjaxPro.Utility.RegisterTypeForAjax(typeof(_Default),Page);
指定爲Page就行了,否則會報錯顯示類型轉換失敗!
2. path的匹配問題,他不能匹配子目錄內的文件,支持簡單的*、?通配符,例如:/page/* -> 就只能匹配page目錄下的文件 /page/*/* -> 能匹配page目錄下任意一級子目錄下的文件。
3. 在使用驗證碼的時候注意了,如果也是用Page頁返回並且在權限控制範圍內的話注意要過濾掉!
遺留問題:
1. 這樣做到底會不會造成性能上的損害?!
2. 對於屬性IsResult仍然持不理解狀態!
結束
歡迎大家交換意見,繼續探索權限控制方面在ASP.NET中的解決方案:)
From:http://www.cnblogs.com/over140/archive/2008/11/13/1332384.html