ASP.NET MVC 5.0已经发布一段时间了,适应了一段时间,准备把原来的MVC项目重构了一遍,先把基本权限验证这块记录一下。

环境:Windows 7 Professional SP1 + Microsoft Visual Studio 2013(MVC 5 + Web API 2)

修改Web.config,增加Forms验证模式,在system.web节点中增加以下配置:

  1. <authentication mode="Forms">
  2.   <forms loginUrl="~/login" defaultUrl="~/" protection="All" timeout="20" name="__auth" />
  3. </authentication>

【MVC View Controller 篇】

新建一个PageAuth,继承自AuthorizeAttribute:

  1. using System;
  2. using System.Net;
  3. using System.Web;
  4. using System.Web.Mvc;
  5. using System.Web.Security;
  1. [AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, Inherited = true, AllowMultiple = true)]
  2. public class PageAuth : AuthorizeAttribute
  3. {
  4.     protected override bool AuthorizeCore(HttpContextBase httpContext)
  5.     {
  6.         if (httpContext == null)
  7.         {
  8.             return false;
  9.         }
  10.  
  11.         if (httpContext.User.Identity.IsAuthenticated && base.AuthorizeCore(httpContext))
  12.         {
  13.             return ValidateUser();
  14.         }
  15.  
  16.         httpContext.Response.StatusCode = (int)HttpStatusCode.Forbidden;
  17.         return false;
  18.     }
  19.  
  20.     public override void OnAuthorization(AuthorizationContext filterContext)
  21.     {
  22.         base.OnAuthorization(filterContext);
  23.  
  24.         if (filterContext.HttpContext.Response.StatusCode == (int)HttpStatusCode.Forbidden)
  25.         {
  26.             filterContext.Result = new RedirectToRouteResult("AccessErrorPage", null);
  27.         }
  28.     }
  29.  
  30.     protected override void HandleUnauthorizedRequest(AuthorizationContext filterContext)
  31.     {
  32.         filterContext.HttpContext.Response.Redirect(FormsAuthentication.LoginUrl);
  33.     }
  34.  
  35.     private bool ValidateUser()
  36.     {
  37.         //TODO: 权限验证
  38.         return true;
  39.     }
  40. }

建一个Controller的基类PageBase,继承自Controller:

  1. using System.Web.Mvc;
  1. [PageAuth]
  2. public class PageBase : Controller
  3. {
  4. }

所有View的Controller均继承自PageBase,不再继承自Controller。

继承PageBase之后,所有的Controller均需登录,给允许匿名访问的Controller(或Action)增加AllowAnonymous(以AccountController为例):

  1. using System.Web.Mvc;
  1. public class AccountController : PageBase
  2. {
  3.     [AllowAnonymous]
  4.     public ActionResult Login()  // 可匿名访问
  5.     {
  6.         ViewBag.Title = "用户登录";
  7.         return View();
  8.     }
  9.  
  10.     public ActionResult Detail(int id)   // 需登录访问
  11.     {
  12.         ViewBag.Title = "用户详情";
  13.         return View();
  14.     }
  15. }

页面Controller的开发,基本结束,接下来就是在登录页面(~/login)使用js提交登录信息,用post方式提交。

提交之后,需要开发Web API的接口了。

【MVC Web API Controller 篇】

同样,新建一个ApiAuth,继承自ActionFilterAttribute:

  1. using System;
  2. using System.Net;
  3. using System.Net.Http;
  4. using System.Web.Http;
  5. using System.Web.Http.Controllers;
  6. using System.Web.Http.Filters;
  7. using System.Web.Security;
  1. [AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, Inherited = true, AllowMultiple = true)]
  2. public class ApiAuth : ActionFilterAttribute
  3. {
  4.     public override void OnActionExecuting(HttpActionContext actionContext)
  5.     {
  6.         try
  7.         {
  8.             if (actionContext.ActionDescriptor.GetCustomAttributes<AllowAnonymousAttribute>().Count > )   // 允许匿名访问
  9.             {
  10.                 base.OnActionExecuting(actionContext);
  11.                 return;
  12.             }
  13.  
  14.             var cookie = actionContext.Request.Headers.GetCookies();
  15.             if (cookie == null || cookie.Count < )
  16.             {
  17.                 actionContext.Response = new HttpResponseMessage(HttpStatusCode.Forbidden);
  18.                 return;
  19.             }
  20.  
  21.             FormsAuthenticationTicket ticket = null;
  22.  
  23.             foreach (var perCookie in cookie[].Cookies)
  24.             {
  25.                 if (perCookie.Name == FormsAuthentication.FormsCookieName)
  26.                 {
  27.                     ticket = FormsAuthentication.Decrypt(perCookie.Value);
  28.                     break;
  29.                 }
  30.             }
  31.  
  32.             if (ticket == null)
  33.             {
  34.                 actionContext.Response = new HttpResponseMessage(HttpStatusCode.Forbidden);
  35.                 return;
  36.             }
  37.  
  38.             // TODO: 添加其它验证方法
  39.  
  40.             base.OnActionExecuting(actionContext);
  41.         }
  42.         catch
  43.         {
  44.             actionContext.Response = new HttpResponseMessage(HttpStatusCode.Forbidden);
  45.         }
  46.     }
  47. }

新建一个ApiController的基类ApiBase,继承自ApiController:

  1. using System.Web.Http;
  1. [ApiAuth]
  2. public class ApiBase : ApiController
  3. {
  4. }

所有API的Controller均继承自ApiBase,不再继承自ApiController。

继承ApiBase之后,给允许匿名访问的Controller(或Action)增加AllowAnonymous(以LoginController为例):

  1. using System.Web.Http;
  2. using System.Web.Security;
  1. public class LoginController : ApiBase
  2. {
  3.     [HttpPost]
  4.     [AllowAnonymous]
  5.     public bool Login([FromBody]LoginInfo loginInfo)
  6.     {
  7.         try
  8.         {
  9.             var cookie = FormsAuthentication.GetAuthCookie("Username", false);
  10.             var ticket = FormsAuthentication.Decrypt(cookie.Value);
  11.             var newTicket = new FormsAuthenticationTicket(ticket.Version, ticket.Name, ticket.IssueDate, ticket.Expiration, ticket.IsPersistent, "");
  12.             cookie.Value = FormsAuthentication.Encrypt(newTicket);
  13.             DeyiContext.Response.Cookies.Add(cookie);return true;
  14.         }
  15.         catch
  16.         {
  17.             return false;
  18.         }
  19.     }
  20. }

【写在最后】

网上查了很多方法,还需要时间验证一下各个方法的合理度。

关于Web API的安全性,个人觉得,还是采用SSL的方式更加稳妥一些。

另外,网上很多写的在Web API的权限判断的时候,使用的是actionContext.Request.Headers.Authorization来判断,如下:

  1. if (actionContext.Request.Headers.Authorization == null)
  2. {
  3.     // 判断是否允许匿名访问
  4. }
  5. else
  6. {
  7.     var ticket = FormsAuthentication.Decrypt(actionContext.Request.Headers.Authorization.Parameter);
  8.     // 后续其它验证操作
  9. }

还没有完成测试该方法,慢慢来吧~~~

ASP.NET MVC View 和 Web API 的基本权限验证的更多相关文章

  1. 如何将一个 ASP.NET MVC 4 和 Web API 项目升级到 ASP.NET MVC 5 和 Web API 2

    ----转自微软官网www.asp.net/mvc/ ASP.NET MVC 5 和 Web API 2 带来的新功能,包括属性路由. 身份验证筛选器,以及更多的主机.请参阅http://www.as ...

  2. 在ASP.NET MVC中使用Web API和EntityFramework构建应用程序

    最近做了一个项目技术预研:在ASP.NET MVC框架中使用Web API和EntityFramework,构建一个基础的架构,并在此基础上实现基本的CRUD应用. 以下是详细的步骤. 第一步 在数据 ...

  3. 在ASP.NET MVC里对Web Page网页进行权限控制

    我们在ASP.NET MVC开发时,有时候还是得设计ASP.NET的Web Page网页(.aspx和.aspx.cs),来实现一些ASP.NET MVC无法实现的功能,如此篇<Visual S ...

  4. MVC中使用Web API和EntityFramework

    在ASP.NET MVC中使用Web API和EntityFramework构建应用程序   最近做了一个项目技术预研:在ASP.NET MVC框架中使用Web API和EntityFramework ...

  5. 002.Create a web API with ASP.NET Core MVC and Visual Studio for Windows -- 【在windows上用vs与asp.net core mvc 创建一个 web api 程序】

    Create a web API with ASP.NET Core MVC and Visual Studio for Windows 在windows上用vs与asp.net core mvc 创 ...

  6. ASP.NET Core MVC中构建Web API

    在ASP.NET CORE MVC中,Web API是其中一个功能子集,可以直接使用MVC的特性及路由等功能. 在成功构建 ASP.NET CORE MVC项目之后,选中解决方案,先填加一个API的文 ...

  7. 从头编写 asp.net core 2.0 web api 基础框架 (1)

    工具: 1.Visual Studio 2017 V15.3.5+ 2.Postman (Chrome的App) 3.Chrome (最好是) 关于.net core或者.net core 2.0的相 ...

  8. 【转载】从头编写 asp.net core 2.0 web api 基础框架 (1)

    工具: 1.Visual Studio 2017 V15.3.5+ 2.Postman (Chrome的App) 3.Chrome (最好是) 关于.net core或者.net core 2.0的相 ...

  9. 从零开始学习 asp.net core 2.1 web api 后端api基础框架(二)-创建项目

    原文:从零开始学习 asp.net core 2.1 web api 后端api基础框架(二)-创建项目 版权声明:本文为博主原创文章,未经博主允许不得转载. https://blog.csdn.ne ...

随机推荐

  1. 窥探Vue.js 2.0 - Virtual DOM到底是个什么鬼?

    引言 你可能听说在Vue.js 2.0已经发布,并且在其中新添加如了一些新功能.其中一个功能就是"Virtual DOM". Virtual DOM是什么 在之前,React和Em ...

  2. 《Django By Example》第二章 中文 翻译 (个人学习,渣翻)

    书籍出处:https://www.packtpub.com/web-development/django-example 原作者:Antonio Melé (译者注:翻译完第一章后,发现翻译第二章的速 ...

  3. nodejs模块发布及命令行程序开发

    前置技能 npm工具为nodejs提供了一个模块和管理程序模块依赖的机制,当我们希望把模块贡献出去给他人使用时,可以把我们的程序发布到npm提供的公共仓库中,为了方便模块的管理,npm规定要使用一个叫 ...

  4. C#中如何在Excel工作表创建混合型图表

    在进行图表分析的时候,我们可能需要在一张图表呈现两个或多个样式的图表,以便更加清晰.直观地查看不同的数据大小和变化趋势.在这篇文章中,我将分享C#中如何在一张图表中创建不同的图表类型,其中包括如何在同 ...

  5. 小兔Java教程 - 三分钟学会Java文件上传

    今天群里正好有人问起了Java文件上传的事情,本来这是Java里面的知识点,而我目前最主要的精力还是放在了JS的部分.不过反正也不麻烦,我就专门开一贴来聊聊Java文件上传的基本实现方法吧. 话不多说 ...

  6. ASP.NET Core 中文文档 第五章 测试(5.2)集成测试

    原文: Integration Testing 作者: Steve Smith 翻译: 王健 校对: 孟帅洋(书缘) 集成测试确保应用程序的组件组装在一起时正常工作. ASP.NET Core支持使用 ...

  7. 基于window7+caffe实现图像艺术风格转换style-transfer

    这个是在去年微博里面非常流行的,在git_hub上的代码是https://github.com/fzliu/style-transfer 比如这是梵高的画 这是你自己的照片 然后你想生成这样 怎么实现 ...

  8. 【干货分享】流程DEMO-固定资产转移流程

    流程名: 固定资产转移  业务描述: 固定资产从某员工转移至另一员工,转出人与转入人必须不同  流程相关文件: 流程包.xml  流程说明: 直接导入流程包文件,即可使用本流程  表单:  流程:  ...

  9. maven打包插件:appassembler

    1.打包成bat 打包命令:mvn clean package appassembler:assemble <plugin> <groupId>org.codehaus.moj ...

  10. sqlServer去除字符串空格

    说起去除字符串首尾空格大家肯定第一个想到trim()函数,不过在sqlserver中是没有这个函数的,却而代之的是ltrim()和rtrim()两个函数.看到名字所有人都 知道做什么用的了,ltrim ...