有段时间没写博客了,最近工作比较忙,能敲代码的时间也不多。
我一直有一个想法,想给单位免费做点小软件,一切思路都想好了,但是卡在一个非常基础的问题上:登陆与授权。
为此,我看了很多关于微软提供的Identity、MemberShip的资料。
但我发现,这两种方式都是默认代码优先(不知道为啥就是那么讨厌CODE FIRST),配置如此复杂恶心。实在很不爽,所以,我要想想其他的办法。
直到我发现了Authorize特性,以此开始,找到了一个利用Authorize特性+Forms身份验证 做 验证与授权 的解决方案
( 也许这套解决方案不是很好,也欢迎各位大神指点一二)
一、Authorize特性
Authorize特性是微软提供的一个用于身份验证和授权的特性,一般提倡于用在MVC中。
它的用法也很简单
[Authorize] //不加任何惨呼标示,必须要登陆才能访问控制器 public ActionResult Index() { return View(); } [Authorize(Users="张三")] //加一个Users参数,表示限制用户名为“张三”的人才能访问 public ActionResult About() { return View(); } [Authorize(Roles="admin")]//限制权限为“admin”的人才能访问 public ActionResult Test() { return View(); }//当然,Users和Roles两个参数可以一起使用
第一次使用这个特性,总感觉好神奇。我们有必要反编译一下这个Authorize看它到底如何。首先我们看看这个特性里面有哪些成员
我猜大部分初学者看元数据都会一脸懵逼,因为找不到切入点,楼主不才,现在总结了一个小窍门:凡是实现了接口的类,首先看看它的接口成员有什么,接口里很有可能是切入点。在这里我们就看IAuthorizationFilter
这个接口实现了OnAuthorization()方法,我们就从这里入手。
public virtual void OnAuthorization(AuthorizationContext filterContext) { if (filterContext == null) { throw new ArgumentNullException("filterContext"); } if (OutputCacheAttribute.IsChildActionCacheActive(filterContext)) { throw new InvalidOperationException(MvcResources.AuthorizeAttribute_CannotUseWithinChildActionCache); } if (!filterContext.ActionDescriptor.IsDefined(typeof(AllowAnonymousAttribute), true) && !filterContext.ActionDescriptor.ControllerDescriptor.IsDefined(typeof(AllowAnonymousAttribute), true)) { if (this.AuthorizeCore(filterContext.HttpContext)) //这里调用它的验证内核进行验证。 { HttpCachePolicyBase cache = filterContext.HttpContext.Response.Cache; cache.SetProxyMaxAge(new TimeSpan(0L)); cache.AddValidationCallback(new HttpCacheValidateHandler(this.CacheValidateHandler), null); } else { this.HandleUnauthorizedRequest(filterContext); } } } protected virtual bool AuthorizeCore(HttpContextBase httpContext) //这里做具体的验证 { if (httpContext == null) { throw new ArgumentNullException("httpContext"); } IPrincipal user = httpContext.User; if (!user.Identity.IsAuthenticated) { return false; } if ((this._usersSplit.Length > 0) && !this._usersSplit.Contains (user.Identity.Name, StringComparer.OrdinalIgnoreCase)) { return false; } if ((this._rolesSplit.Length > 0) && !this._rolesSplit.Any (new Func (user.IsInRole))) { return false; } return true; } OnAuthorization()方法中调用AuthorizeCore()方法,在它里面进行具体的验证。
这里面有个 HttpContextBase,是不是很熟悉?(不熟悉的话,HttpContext总该熟悉了吧,你可以看看它们之间的继承关系)
AuthorizeCore()做具体验证的方式就是比对HttpContext里面的User属性,无论是校验是否登陆、还是校验用户名字、还是校验用户角色(权限),都是用这个对象来做的。
那么这个HttpContext.User到底是怎么回事呢?它又是怎么来的呢?
二、IPrincipal接口与HttpContext.User对象
HttpContext.User对象我们转到定义一看,它其实就是一个IPrincipal接口。
IPrincipal接口很简单,就一个标示身份的IIdentity接口的属性,一个是否授权方法。IIdentity接口也不复杂,就是一个用户名、是否授权、一个授权类型。
// 摘要: // 定义用户对象的基本功能。 [ComVisible(true)] public interface IPrincipal { // 摘要: // 获取当前用户的标识。 // // 返回结果: // 与当前用户关联的 System.Security.Principal.IIdentity 对象。 IIdentity Identity { get; } // 摘要: // 确定当前用户是否属于指定的角色。 // // 参数: // role: // 要检查其成员资格的角色的名称。 // // 返回结果: // 如果当前用户是指定角色的成员,则为 true;否则为 false。 bool IsInRole(string role); } // 摘要:
// 定义标识对象的基本功能。 [ComVisible(true)] public interface IIdentity { // 摘要: // 获取所使用的身份验证的类型。 // // 返回结果: // 用于标识用户的身份验证的类型。 string AuthenticationType { get; } // // 摘要: // 获取一个值,该值指示是否验证了用户。 // // 返回结果: // 如果用户已经过验证,则为 true;否则为 false。 bool IsAuthenticated { get; } // // 摘要: // 获取当前用户的名称。 // // 返回结果: // 用户名,代码当前即以该用户的名义运行。 string Name { get; } }当我们的请求在进入HTTP处理管道之后,某个位置只要给我们的HttpContext.User实例化出一个对象,我们的Authorize特性就能成功地使用了。因为这个特性的验证方法里,会调User对象的Identity.IsAuthenticated,和IsInRole方法来判断用户的请求是否通过验证和授权。
(明天继续补充)