跟我一起学习ASP.NET 4.5 MVC4.0（四）（转）

前几个文章中介绍了一些关于MVC4.0的东东，今天我们来看一下登陆验证，也可以说是权限验证，即AuthorizeAttribute。这个可以使用在控制器Controller上，也可以使用在Action方法上面，这里最主要的是要介绍怎样将自己的权限验证进行扩展，以及禁止访问的页面转向问题。

下面我们先看一下代码，然后在进行分析，那样就可以事半功倍了，具体代码如下，当然还可以进行验证扩展，那就看你的需要了。

/// <summary>
     /// 权限验证属性。
     /// </summary>
     public class AuthorizeExAttribute : AuthorizeAttribute
     {
         /// <summary>
         /// 初始化权限验证类。
         /// </summary>
         /// <param name="permissionName">权限名称。</param>
         public AuthorizeExAttribute(string permissionName = "") {
             this.PermissionName = permissionName;
         }
         /// <summary>
         /// 获取权限名称。
         /// </summary>
         public string PermissionName { get; private set; }
 
         /// <summary>
         /// 验证授权。
         /// </summary>
         /// <param name="httpContext">HTTP 上下文，它封装有关单个 HTTP 请求的所有 HTTP 特定的信息。</param>
         /// <returns>如果用户已经过授权，则为 true；否则为 false。</returns>
         protected override bool AuthorizeCore(HttpContextBase httpContext)
         {
             if(httpContext == null)
                 return false;
             if(httpContext.User.Identity.IsAuthenticated)
             {
                 var user = Users.Current;
                 if(!user.IsAnonymous && IsAllow(user) && base.AuthorizeCore(httpContext))
                     return true;
             }
             httpContext.Response.StatusCode = 403;
             return false;
         }
 
         private bool IsAllow(User user)
         {
             //写上验证代码
             return true;
         }
 
         /// <summary>
         /// 重写验证。
         /// </summary>
         /// <param name="filterContext">验证信息上下文。</param>
         public override void OnAuthorization(AuthorizationContext filterContext)
         {
             base.OnAuthorization(filterContext);
             if(filterContext.HttpContext.Response.StatusCode == 403)
             {
                 if(filterContext.HttpContext.User.Identity.IsAuthenticated)
                     filterContext.Result = new RedirectResult("/AccessError");
                 else
                     filterContext.Result = new RedirectResult(FormsAuthentication.LoginUrl + "?returnUrl=" + filterContext.HttpContext.Request.UrlReferrer);
             }
         }

}

其中User是本人定义的一个用户实体类，而Users是这个实体类的方法类，这里就补贴出代码，可以自己实现下，因为各个的应用不同。知道了这个权限验证的权限名称，可以通过它来获取权限的值，那样就可以验证当前用户的这个权限是否通过验证。只需要重写他的代码，就可以实现验证了，为了能够告诉前端用户，提示禁止访问信息，这里设置了一个页面就是AccessError页面。

当然返回的页面也有不一样的，加入是匿名用户就需要让他登录，所以转向到登录页面，而如果是登录的用户就转向到禁止访问提示页面。这只是开发中需要验证的一个过滤器，在ASP.NET MVC开发中会使用到。

ASP.NET MVC 4.0改进：

笔者发现在MVC4.0后，微软加了一个AllowAnoumous的过滤器验证，即允许匿名用户访问，方法上的过滤器可以覆盖掉控制器上的标记。这样做有一个好处，因为很多地方都是需要登录后才可以访问的，但是像登录页面，注册页面这些又不需要登录。但是往往都会放在Account控制器中，这样可以方便验证。 由于要上班这里就不多说了，希望能够学到点东西，同时也给他人…