MVC中使用AuthorizeAttribute做身份验证操作【转】

http://blog.csdn.net/try530/article/details/7782704

代码顺序为：OnAuthorization-->AuthorizeCore-->HandleUnauthorizedRequest

如果AuthorizeCore返回false时，才会走HandleUnauthorizedRequest 方法，并且Request.StausCode会返回401，401错误又对应了Web.config中

的

<authentication mode="Forms">
      <forms loginUrl="~/" timeout="2880" />
    </authentication>

所有，AuthorizeCore==false 时，会跳转到 web.config 中定义的  loginUrl="~/"

1. public class CheckLoginAttribute : AuthorizeAttribute
2. {
3. protected override bool AuthorizeCore(HttpContextBase httpContext)
4. {
5. bool Pass = false;
6. if (!CheckLogin.AdminLoginCheck())
7. {
8. httpContext.Response.StatusCode = 401;//无权限状态码
9. Pass = false;
10. }
11. else
12. {
13. Pass = true;
14. }
15. return Pass;
16. }
17. protected override void HandleUnauthorizedRequest(AuthorizationContext filterContext)
18. {
19. base.HandleUnauthorizedRequest(filterContext);
20. if (filterContext.HttpContext.Response.StatusCode == 401)
21. {
22. filterContext.Result = new RedirectResult("/");
23. }
24. }
25. }

AuthorizeAttribute的OnAuthorization方法内部调用了AuthorizeCore方法，这个方法是实现验证和授权逻辑的地方，如果这个方法返回true，

表示授权成功，如果返回false， 表示授权失败, 会给上下文设置一个HttpUnauthorizedResult，这个ActionResult执行的结果是向浏览器返回

一个401状态码（未授权）,但是返回状态码没什么意思，通常是跳转到一个登录页面，可以重写AuthorizeAttribute的

HandleUnauthorizedRequest 

1. protected override void HandleUnauthorizedRequest(AuthorizationContext context)
2. {
3. if (context == null)
4. {
5. throw new ArgumentNullException("filterContext");
6. }
7. else
8. {
9. string path = context.HttpContext.Request.Path;
10. string strUrl = "/Account/LogOn?returnUrl={0}";
11. context.HttpContext.Response.Redirect(string.Format(strUrl, HttpUtility.UrlEncode(path)), true);
12. }
13. }