专栏首页每天学点JavaScriptASP.NET MVC如何做一个简单的非法登录拦截

ASP.NET MVC如何做一个简单的非法登录拦截

摘要:做网站的时候,经常碰到这种问题,一个没登录的用户,却可以通过localhost:23244/Main/Index的方式进入到网站的内部,查看网站的信息。我们知道,这是极不安全的,那么如何对这样的操作进行拦截呢,这里记录我学到的一个小小方法。

以下是我要记录的正文部分:

  开始讲之前声明一点,我目前的能力着实很有限,有些东西并不很懂,也可能讲不清楚,有些知识表述可能是错误的(尽量避免),主要是把我对这部分做法的理解记载下来,以后自己独立开发的时候确保不会忘记。

  非法登录拦截,主要用到的是.net mvc里的过滤器。我们每次在执行一个方法时候,实际上程序会预先对我们设置的一些过滤条件进行验证和判断,而不同的过滤器作用的优先级是不同的,在实现这个拦截功能的时候,用到的主要是全局过滤器(关于过滤器的知识,了解并不深入,不详述)。

具体的处理思路是这样的:我们现在App_Start文件夹下的FilterConfig.cs文件中注册一个全局过滤器,这个全局过滤器的作用是——进行登录授权,也就是检查你这个用户是不是已经登录的合法用户,如果不是,那么你做的任何其他操作,系统都不会响应,而是一直把你堵在登录界面。接下来看一段代码:

代码:

using Console.App_Start;
using System.Web;
using System.Web.Mvc;

namespace Console
{
    public class FilterConfig
    {
        /// <summary>
        /// 注册全局过滤器
        /// </summary>
        /// <param name="filters"></param>
        public static void RegisterGlobalFilters(GlobalFilterCollection filters)
        {
            //filters.Add(new HandleErrorAttribute());
            //登录授权
            filters.Add(new AuthFilter());
        }
    }
}

上面的代码,主要看这一句

 filters.Add(new AuthFilter());

这句的意思是,我在这里注册了一个名为 AuthFilter的过滤器,每次后台执行某个动作之前,都必须先要通过这个过滤器的审核,审核通过执行某操作,审核不通过有执行某操作。

下面,在App_Start下新建一个名为AuthFilter.cs的类,然后在这里些授权条件,下面看一段代码:

代码如下:

using Console.Util;
using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;
using System.Web.Mvc;

namespace Console.App_Start
{
    public class AuthFilter:ActionFilterAttribute
    {
        public override void OnActionExecuting(ActionExecutingContext filterContext)
        {
            //如果用户未登录,且action未明确标识可跳过登录授权,则跳转到登录页面
            if (!CacheUtil.IsLogin&&!filterContext.ActionDescriptor.IsDefined(typeof(AuthEscape),false))
            {
                const string loginUrl = "~/Main/Login";
                filterContext.Result = new RedirectResult(loginUrl);
            }
            base.OnActionExecuting(filterContext);
        }
    }
}

以上代码只说明核心的拦截功能的实现,至于余下的一些关于过滤器的使用语法之类的知识点,不会讲述,因为我也不知道呀,只知道是这么写的。

重点看下面这一句:

 //如果用户未登录,且action未明确标识可跳过登录授权,则跳转到登录页面
 if (!CacheUtil.IsLogin&&!filterContext.ActionDescriptor.IsDefined(typeof(AuthEscape),false))

这是一个条件表达式,前一句 CacheUtil.IsLogin 是一个bool类型的值,为true则表示已经登录,为false则表示未登录,!CacheUtil.IsLogin表示未登录的意思,后一句

filterContext.ActionDescriptor.IsDefined(typeof(AuthEscape),false))

这里重要的其实是这个 AuthEscape,这是一个定义过滤器特性的类,在这个我们只把它作为一个标志,作为一个可以免除登录授权的标志,具体使用是这样的,比如,看下图:

我们在执行任何一个方法之前都会经过全局过滤的过滤,只有已经登录的用户才能执行action方法。但是,因为我们的登录信息是在登录之后才被记录的,那我们的登录操作,登录校验的操作不就也被挡在外面了吗,这样一来,岂不是永远无法登录了吗。所以呀,为了解决这个问题,我们就需要给这两个方法每人发一块免检通行证,也就是在他们头上写一个[AuthEscape],只要有了这个标志,那么上面的那句代码就会返回一个true,如果没有,那么就会返回false。假如既没有登录,又没有免检通行证,那么就会被拦在登录界面上。

AuthEscape.cs的代码如下:

代码:

using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;
using System.Web.Mvc;

namespace Console.App_Start
{
    /// <summary>
    /// 用于标记无需登录授权验证的Action,无任何实现,在那个action上面标注这个,就可以逃过全局过滤器的过滤
    /// </summary>
    public class AuthEscape:ActionFilterAttribute
    {

    }
}

是的,这个类里面是空的,因为我们并不需要这里有任何内容,我们只需要在免检的方法上挂上这个类的名字,仅此而已。这一整个流程,可以用如下的示意图来简要表示:

关于这部分呢内容就记录到这里了,希望能帮到你哦。

有需要代码的同学,可以在下面留言邮箱,工作日的时候会尽快发给你。

我的QQ邮箱:3074596466@qq.com

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • Entity Framework应用:使用Code First模式管理数据库创建和填充种子数据

    在数据库上下文类中,如果我们只继承了无参数的DbContext,并且在配置文件中创建了和数据库上下文类同名的连接字符串,那么EF会使用该连接字符串自动计算出数据...

    CherishTheYouth
  • asp.net 建多个项目实现三层的实例——读取一张表中的记录条数

      学习asp.net两周,通过学习发现,.net和php之间的区别还是蛮大的,比php要复杂一些,开始学习的有些吃力,后来跟着传智播客里的老师学习,渐渐的学到...

    CherishTheYouth
  • Sql学习笔记(二)—— 条件查询

    上篇简单介绍了一下sql的一些基础增删改查语句,而针对多种多样的查询语句则未详细说明,这一篇继续记录一下关于各种条件查询的知识。

    CherishTheYouth
  • C# 类中操作主窗体控件

    这种方法简单实用!这种方法简单实用!这种方法简单实用!这种方法简单实用!这种方法简单实用!这种方法简单实用!这种方法简单实用!这种方法简单实用!这种方法简单实用...

    zls365
  • asp了解

    第 1 节: 1-ASP.Net课前说明 1、网站目录一般不建在桌面上,有时候可能会涉及 权限的问题; 2、逻辑代码分两块运行的,一部分运行在服务器端,一部分...

    静心物语313
  • python小例子(三)

    mysql:关系型数据库,数据存放在硬盘中,检索的话,会有一定的I/O操作,速度较慢;

    绝命生
  • Moq基础 判断方法被执行

    例如有方法 Foo 支持注入接口 IFoo 需要判断在 Foo 方法里面调用 IFoo 的 Foo 方法几次

    林德熙
  • Blazor带我重玩前端(六)

    本文主要讨论Blazor事件内容,由于blazor事件部分很多,所以会分成上下两篇,本文为第二篇。

    Edison.Ma
  • 安装Win7和Ubuntu12.04双系统后,意外删除Ubuntu12.04引导文件,出现error:unknown filesystem;grub rescue>错误的解决方案

        很久之前在Win7基础上安装了Ubuntu12.04系统,采用硬盘安装的方法。分了1个10G的硬盘分区F盘用于存放Ubuntu12.04的引导文件,其实...

    ccf19881030
  • Confluence 6 为边栏添加自定义内容

    在边栏中,头部和脚部的字段都可以使用 wiki 的标记。请查看 guide to wiki markup 页面中的内容来获得更多的帮助,或者查看我们在本页后部分...

    HoneyMoose

扫码关注云+社区

领取腾讯云代金券