基于Session的身份认证通过后,后续访问控制器的函数时该如何控制访问权限?虽然可以按上篇文章方式在需要做控制的函数开头检查Session的用户标识,可以写个全局通用检查类供所需函数调用,但还是有更简便的方法,本文学习并测试参考文献中的权限控制方式。
参考文献3中介绍的方式是自定义继承Controller类的权限控制基类,并重写其中的OnActionExecuting函数,该函数是在访问控制器的函数前调用,能够从输入参数中获取当前调用方法及所属控制器信息,也能获取请求数据。
//
// 摘要:
// Called before the action method is invoked.
//
// 参数:
// context:
// The action executing context.
[NonAction]
public virtual void OnActionExecuting(ActionExecutingContext context);
新建BaseController类继承Controller类,重写OnActionExecuting函数,在函数内判断如果Session不可用或者没有用户标识,则跳转到登录页面。然后将测试项目中的HomeController改为继承BaseController。测试过程中只要不登录页面直接点击Home或Privacy链接,则会执行OnActionExecuting函数,从而跳转到登录页面。
public class BaseController: Controller
{
public override void OnActionExecuting(ActionExecutingContext context)
{
if (!HttpContext.Session.IsAvailable ||
string.IsNullOrEmpty(HttpContext.Session.GetString("user")))
{
context.Result = RedirectToAction("Login", "Account");
}
else
{
base.OnActionExecuting(context);
}
}
}
测试代码并没有写更细致的控制逻辑,不过从OnActionExecuting函数的输入参数context中可以获取当前调用函数所属的控制器类数据及函数数据,包括函数中的自定义特性等信息,通过这些信息可以做更精细的访问控制。
参考文献:
[1]https://www.cnblogs.com/boonya/p/18557417
[2]http://www.pzhseo.com/article/dipjeg.html
[3]https://cloud.tencent.com/developer/article/1783650
[4]https://blog.youkuaiyun.com/ousetuhou/article/details/135392012
[5]https://blog.51cto.com/u_16213593/11106992
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
