AOP实践--利用MVC5 Filter实现登录状态判断

AOP有的翻译“面向切面编程”，有的是“面向方面编程”。其实名字不重要，思想才是核心，mvc的Filter让我们很

方便达到这种面向方面编程，就是在现有代码的基础上注入外部代码，也就是所谓的面向方面编程，比如身份

验证。

下面通过一个具体的例子来体验一下MVC的AOP。

1、定义一AuthenAdminAttribute特性类

public class AuthenAdminAttribute : FilterAttribute, IAuthenticationFilter
{
	public void OnAuthentication(AuthenticationContext filterContext)
	{
	        //这个方法是在Action执行之前调用
		var user = filterContext.HttpContext.Session["AdminUser"];
		if (user == null)
		{
			//filterContext.HttpContext.Response.Redirect("/Account/Logon");
			var Url = new UrlHelper(filterContext.RequestContext);
			var url = Url.Action("Logon", "Account", new { area=""});
			filterContext.Result = new RedirectResult(url);
		}
	}
	public void OnAuthenticationChallenge(AuthenticationChallengeContext filterContext)
	{
		//这个方法是在Action执行之后调用
	}
}

是否登录是通过Session键值为AdminUser的值是否为null判断，如果为null也就是还没有登录或者过期了，就跳

转到登录页面，即"/Account/Logon"。

注意：上面OnAuthentication是在最开始被调用的，也在ActionFilter方法之前。而OnAuthenticationChallenge

方法是在Action执行之后，返回视图之前被调用。所以要把登录验证写在方法OnAuthentication中。而且在里面

我们用到了设置filterContext.Result = new RedirectResult(url);而不是跳转的形式，很关键的。MVC在执行

Filter时，如果我们手动用一个ActionResult对象指定了其Context对象的Result属性的值，那么这个这个

ActionResult将作为这个请求的结果输出，并且在这次请求管道中剩下的步骤将不再继续执行。反之如果没有

设置filterContext.Result的值，它会继续执行接下来的步骤，甚至是Action方法，就算我们设置了跳转。

2、定义登录Controller

public class ManageController : Controller
{

        public ActionResult Logon()
        {
            return View();
        }
        [HttpPost]
        public ActionResult Logon(string username,string password)
        {
            if (username == "admin" && password == "admin")
            {
                Session["AdminUser"] = username;
                return RedirectToAction("Index",
                                        "Order", new { area = "Admin" });
            }
            else
                ViewBag.Error = "用户名或密码不正确！";
            return View();
        }

        public ActionResult LogOff()
        {
            if (Session["AdminUser"] != null)
            {
                Session["AdminUser"] = null;
            }
            return RedirectToAction("Logon");
        }
 }

Action名为Logon的方法就是里面就是登录相关逻辑，这里的逻辑我为了简单化，就直接把用户名和密码固定写

死了。当然实际过程中你可以根据你自己的需要，比如结合数据库表记录来判断用户名密码是否合法，如果合

法就相应的信息存在Session里面，当然你也可以存在Cookie里。

注意：这里登录成功之后的存Session的key一定要和上面第一步的AuthenAdminAttribute用到的key一致。

3、设置需要登录判断的Controller或者Action

最后就是根据你的需要，看哪些Controller或者Action需要登录才能访问，只需要在前面加上我们在上面定义好

的特性类就可以了。

[AuthenAdmin]
public class CategoryController : Controller
{
  public ActionResult Index()
  {
   //此处省略具体逻辑代码
   return View();
  }
}

上面是对整个Controller都要登录验证，就是这个Controller的所有Action必须要登录才能访问。那如果要针对单

独的一个Action控制，其它不做要求呢？这也很好办。代码这样写就可以了。

public class CategoryController : Controller
{
  public ActionResult Index()
  {
   //此处省略具体逻辑代码
   return View();
  }
  [AuthenAdmin]
  public ActinResult List()
  {
     //此处省略具体逻辑代码
    return View();
  }
}

这样就是只有List这个Action需要登录，Index就不用登录就能访问。

最后，说一下第一步为什么我要自己实现IAuthenticationFilter接口，而不直接继承AuthorizeAttribute，比如这

样写

public class CustomAuthAttribute : AuthorizeAttribute {
	private bool localAllowed;

	public CustomAuthAttribute(bool allowedParam) {
		localAllowed = allowedParam;
	}

	protected override bool AuthorizeCore(HttpContextBase httpContext) {
		var user = httpContext.Session["AdminUser"];
		return user != null
	}
}

可以看到AuthorizeAttribute核心方法是AuthorizeCore返回值是一个bool类型，也就是只能判断是否登录过了，

这种情况如果你的系统采用Form验证这个，确实是一个简单可行的方案。如果要涉及到更加细微的权限控制或

者要把登录信息存储到Session或者其实地方就不太好办了，因为ASP.NET的Form验证是基于Cookie的。所以

我一般建议自己实现接口IAuthenticationFilter，这样让我们的系统更加灵活，更加容易扩展和控制。

这样最后来看我们的业务逻辑代码不会有身份验证相关的代码，登录验证和业务逻辑代码完全隔离开了，业务逻

辑代码变得简洁了许多，这就是我理解的：你只需要针对一方面编程，也就是AOP提倡的面向方面编程。AOP

技术让我们的软件模块之间的耦合性降低，大大的提高的我们软件的可维护性和可复用性，AOP你值得拥有。