在WEBAPI项目中使用过滤器做统一权限验证

　　最近在使用WEBAPI项目开发接口，主要是用于跟安卓与IOS开发的同事对接。刚开始开发接口的时候，为了省事就没有做权限验证，想着等逻辑都调通以后再回过头来统一加上去。结果等功能开发结束，发现每个接口里面都加上五到十行的权限验证功能就有点坑了，这么多的重复代码怎么给它再简化一下呢？
　　在一个技术群里发问之后，有个朋友截了张图，内容是在接口上方声明一个属性，然后在属性里面进行验证。这个是不错的想法，以前我见过用这种方法的，但具体含义不明。正好这次能用上，就自己编写了一个属性。
　　基本思路有三步：1、确定在哪里执行验证；2、获取APP传入的参数；3、根据参数进行权限验证；4、如果权限验证不通过就不再执行接口中的功能。
　　第1步很容易就实现了，在我敲完“public override”后，界面就提示出了可以重写的方法，一个个的看过注释后，发现OnActionExecuting是接口内容执行前执行的代码，于是确定要在这里面写。
　　第2步的难度也不大，程序运行起来之后，把OnActionExecuting参数列表的各项内容打开看了下，结果发现传入参数放在ActionArguments中，于是从中截取出了reqeust参数（即我自定义的传入参数实体名），里面存有APP同事传给我的各项信息。
　　第3步就更简单了，就是把参数拿出来跟数据库作下对照。
　　第4步有点坑，因为不知道怎么停止执行接口功能。于是先使用了传统的HttpContext.Current.Response.End，结果发现没用。然后去百度了半天接口拦截，一直没看出个所以然来。最后突然灵光一现，如果把请求的返回状态直接声明为完成，会不会拦截成功？于是这样调试了一下，果然奏效。

//属性代码
using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.Threading.Tasks;
using System.Web.Http.Filters;
using System.Web;
using System.Net.Http;//该DLL需要手动加入，在系统框架中

    public class ApiAuthAttribute : ActionFilterAttribute
    {
        private static DalUser userData = new DalUser();
        /// <summary>
        /// 权限验证，通过为true，否则为false
        /// </summary>
        /// <param name="request"></param>
        /// <returns></returns>
        private static bool AuthValid(string userId)
        {
            if (string.IsNullOrEmpty(userId))
            {
                return false;
            }
            var objUser = userData.GetUserById(userId);
            if (objUser == null || string.IsNullOrEmpty(objUser.ID))
            {
                return false;
            }
            return true;
        }

        public override void OnActionExecuting(System.Web.Http.Controllers.HttpActionContext actionContext)//执行方法前的操作
        {
            BaseResponseEntity response = new BaseResponseEntity();
            response.Code = (int)ResponseCode.ValidError;
            response.Message = "权限验证失败";
            string result = JsonConvert.SerializeObject(response);

            if (actionContext.ActionArguments == null || actionContext.ActionArguments.Count == 0)//没有传入用户信息
            {
                HttpContext.Current.Response.Write(result);
                actionContext.Response = new HttpResponseMessage(System.Net.HttpStatusCode.OK);//OK为请求结束，拦截其余的执行
            }
            string userId = string.Empty;
            if (actionContext.ActionArguments.ContainsKey("request"))//参数列表中包含request
            {
                BaseRequestEntity request = (BaseRequestEntity)actionContext.ActionArguments["request"];
                if (request == null)
                {
                    HttpContext.Current.Response.Write(result);
                    actionContext.Response = new HttpResponseMessage(System.Net.HttpStatusCode.OK);
                }
                userId = request.userId;
            }

            else

            {

                    HttpContext.Current.Response.Write(result);
                    actionContext.Response = new HttpResponseMessage(System.Net.HttpStatusCode.OK);

            }   
            if (!AuthValid(userId))
            {
                HttpContext.Current.Response.Write(result);
                actionContext.Response = new HttpResponseMessage(System.Net.HttpStatusCode.OK);
            }
        }

使用拦截时的代码：
[ApiAuthAttribute]
public string GetResult(BaseRequest request)
{

}

随后在群里问了一下，有朋友说这是AOP的实现方法，管他什么P呢，好用就行了。