摘要:做網站的時候,經常碰到這種問題,一個沒登錄的用戶,卻可以通過localhost:23244/Main/Index的方式進入到網站的內部,查看網站的信息。我們知道,這是極不安全的,那麼如何對這樣的操作進行攔截呢,這裡記錄我學到的一個小小方法。 ...
摘要:做網站的時候,經常碰到這種問題,一個沒登錄的用戶,卻可以通過localhost:23244/Main/Index的方式進入到網站的內部,查看網站的信息。我們知道,這是極不安全的,那麼如何對這樣的操作進行攔截呢,這裡記錄我學到的一個小小方法。
以下是我要記錄的正文部分:
開始講之前聲明一點,我目前的能力著實很有限,有些東西並不很懂,也可能講不清楚,有些知識表述可能是錯誤的(儘量避免),主要是把我對這部分做法的理解記載下來,以後自己獨立開發的時候確保不會忘記。
非法登錄攔截,主要用到的是.net mvc里的過濾器。我們每次在執行一個方法時候,實際上程式會預先對我們設置的一些過濾條件進行驗證和判斷,而不同的過濾器作用的優先順序是不同的,在實現這個攔截功能的時候,用到的主要是全局過濾器(關於過濾器的知識,瞭解並不深入,不詳述)。
具體的處理思路是這樣的:我們現在App_Start文件夾下的FilterConfig.cs文件中註冊一個全局過濾器,這個全局過濾器的作用是——進行登錄授權,也就是檢查你這個用戶是不是已經登錄的合法用戶,如果不是,那麼你做的任何其他操作,系統都不會響應,而是一直把你堵在登錄界面。接下來看一段代碼:
代碼:
using Console.App_Start; using System.Web; using System.Web.Mvc; namespace Console { public class FilterConfig { /// <summary> /// 註冊全局過濾器 /// </summary> /// <param name="filters"></param> public static void RegisterGlobalFilters(GlobalFilterCollection filters) { //filters.Add(new HandleErrorAttribute()); //登錄授權 filters.Add(new AuthFilter()); } } }
上面的代碼,主要看這一句
filters.Add(new AuthFilter());
這句的意思是,我在這裡註冊了一個名為 AuthFilter的過濾器,每次後臺執行某個動作之前,都必須先要通過這個過濾器的審核,審核通過執行某操作,審核不通過有執行某操作。
下麵,在App_Start下新建一個名為AuthFilter.cs的類,然後在這裡些授權條件,下麵看一段代碼:
代碼如下:
using Console.Util; using System; using System.Collections.Generic; using System.Linq; using System.Web; using System.Web.Mvc; namespace Console.App_Start { public class AuthFilter:ActionFilterAttribute { public override void OnActionExecuting(ActionExecutingContext filterContext) { //如果用戶未登錄,且action未明確標識可跳過登錄授權,則跳轉到登錄頁面 if (!CacheUtil.IsLogin&&!filterContext.ActionDescriptor.IsDefined(typeof(AuthEscape),false)) { const string loginUrl = "~/Main/Login"; filterContext.Result = new RedirectResult(loginUrl); } base.OnActionExecuting(filterContext); } } }
以上代碼只說明核心的攔截功能的實現,至於餘下的一些關於過濾器的使用語法之類的知識點,不會講述,因為我也不知道呀,只知道是這麼寫的。
重點看下麵這一句:
//如果用戶未登錄,且action未明確標識可跳過登錄授權,則跳轉到登錄頁面 if (!CacheUtil.IsLogin&&!filterContext.ActionDescriptor.IsDefined(typeof(AuthEscape),false))
這是一個條件表達式,前一句 CacheUtil.IsLogin 是一個bool類型的值,為true則表示已經登錄,為false則表示未登錄,!CacheUtil.IsLogin表示未登錄的意思,後一句
filterContext.ActionDescriptor.IsDefined(typeof(AuthEscape),false))
這裡重要的其實是這個 AuthEscape,這是一個定義過濾器特性的類,在這個我們只把它作為一個標誌,作為一個可以免除登錄授權的標誌,具體使用是這樣的,比如,看下圖:
我們在執行任何一個方法之前都會經過全局過濾的過濾,只有已經登錄的用戶才能執行action方法。但是,因為我們的登錄信息是在登錄之後才被記錄的,那我們的登錄操作,登錄校驗的操作不就也被擋在外面了嗎,這樣一來,豈不是永遠無法登錄了嗎。所以呀,為瞭解決這個問題,我們就需要給這兩個方法每人發一塊免檢通行證,也就是在他們頭上寫一個[AuthEscape],只要有了這個標誌,那麼上面的那句代碼就會返回一個true,如果沒有,那麼就會返回false。假如既沒有登錄,又沒有免檢通行證,那麼就會被攔在登錄界面上。
AuthEscape.cs的代碼如下:
代碼:
using System; using System.Collections.Generic; using System.Linq; using System.Web; using System.Web.Mvc; namespace Console.App_Start { /// <summary> /// 用於標記無需登錄授權驗證的Action,無任何實現,在那個action上面標註這個,就可以逃過全局過濾器的過濾 /// </summary> public class AuthEscape:ActionFilterAttribute { } }
是的,這個類裡面是空的,因為我們並不需要這裡有任何內容,我們只需要在免檢的方法上掛上這個類的名字,僅此而已。這一整個流程,可以用如下的示意圖來簡要表示:
關於這部分呢內容就記錄到這裡了,希望能幫到你哦。
有需要代碼的同學,可以在下麵留言郵箱,工作日的時候會儘快發給你。
我的QQ郵箱:[email protected]
