MVC4的过滤器

过滤器

                       

提供的四种基本类型过滤器接口,IAuthorizationFilter、IActionFilter、IResultFilter和IExceptionFilter,可通过继承对应的接口和FilterAttrbute特性,定义自己的过滤器,也可继承内置的过滤器,重写相应的方法,完成自己的需求。

授权:IAuthorizeFilter  授权过滤器接口,对身份进行验证

活动:IActionFilter     行为过滤器接口, 执行Action方法前后执行逻辑

结果:IResultFilter       结果过滤器接口,提供了在返回结果前后执行方法

异常:IExceptionFilter  异常过滤器接口,可对其设定在出现异常后的处理方式和方法。

一.授权过滤器:

AuthorizeAttribute:授权过滤器特性,继承 FilterAttribute, IAuthorizationFilter

若是要自定义授权特性,可以继承于AuthorizeAttribute,然后重写AuthorizeCore(自定义授权)和HandleUnauthorizedRequest(授权失败执行逻辑)的方法。也可以直接继承于FilterAttribute和IAuthorizationFilter,重写OnAuthorization方法。

二:方法/行为结果过滤器:

自定义方法行为过滤器,只需要继承于ActionFilterAttribute即可,也可根据自己所需,是否继承IActionFilter和IResultFilter,再继承于FilterAttribute,自定义过滤器。

 

 

ActionFilterAttribute 继承了IActionFilter,IResultFilter接口,实现了接口方法。

 

OnActionExecuting:执行Action前执行

OnActionExecuted:执行Action后执行

OnResultExecuting:返回结果前执行方法

OnResultExecuted:返回结果后执行方法

 

三:异常过滤器

自定义异常过滤器,只需要继承于内置HandleErrorAttribute接口即可。也可自定义异常过滤器,继承于FilterAttribute 和IExceptionFilter.

 

OnException方法:在抛出异常时执行的方法。启用这个异常功能:

使用异常过滤器,需要两个步骤:

   Web.Config 文件配置

   <customErrors  mode="On"></customErrors>

开启自定义错误配置

   使用handleError特性注释动作或控制器类

   [HandleError (Order = 1 ,ExceptionType = typeof(sqlException),

   View = "错误处理的视图")]

Pubic  ActionResult About(){}

 

Filter执行顺序

根据Order, Scope属性来过滤器的执行顺序,如果Order相同,则根据Scope来最终决定执行顺序。

执行优先级:Global过滤器—>Controller过滤器—>Action过滤器

public enum FilterScope
{
    Action = 30,
    Controller = 20,
    First = 0,
    Global = 10,
    Last = 100
}

 

FilterProviders:

为筛选器提供一个注册点,内部有一个FilterCollection类型的Providers属性,可对筛选器集合进行添加,移除等操作。

 

FilterProviders用于注册FilterProvider的,静态构造器在加载的时候,会默认创建三种类型的对象并将其作为表示FilterProviderCollection集合的Providers属性值,

 

其构造函数如下:

static FilterProviders()
    {
        Providers = new FilterProviderCollection();
        Providers.Add(GlobalFilters.Filters);
        Providers.Add(new FilterAttributeFilterProvider());
        Providers.Add(new ControllerInstanceFilterProvider());
    }
 

构造函数中添加了全局过滤器和其他两个Provider对象. GlobalFilters的Filters属性的类型为GlobalFilterConllection。Providers是提供了一个注册点,首先注册全局过滤器

 

FilterAttribute 与FilterAttributeFilterProvider

FilterAttribute是所有过滤器的基类,其继承于Attribute和IMvcFilter接口.

 

ControllerDesciptor和ActionDescriptor

分别表示Controller和Action的ControllerDescriptor和ActionDescriptor实现了ICustomAttributeProvider接口,使其保证能使用Action和Controller上以及FilterAttribute上的所有特性。这两个类型也单独的实现了获得FilterAttribute的方法。

 

 

Controlles与ControllerInstanceFilterProvider

Controller内部也继承了筛选器的四大特性,可以说Controller本身就是一个过滤器。

 

ControllerInstanceFilterProvider是针对Controller的特殊的Filter,它的内部的GetFilter方法是通过指定的ControllerContext获得对应的Controller对象,并创建一个对应的Filter,Controller对象作为Filter对象的Instance属性值,这个Scope值为First,所以为第一个执行。

 

 

GlobalFilterCollection(全局过滤器集合)

FilterConfig.RegisterGlobalFilters(GlobalFilters.Filters);  

 

//默认注册一个HanderError 过滤器

注册全局过滤器:GlobalFiters.Filters.add(new HanderError());

 

 

 

疑问:

1、Controller上的过滤器与Action中的过滤器什么区别?

Controller 上的过滤器比Action先执行,这是根据内部的FilterScope指定的。Controller上的过滤器应用于整个控制器,而Action的过滤器只应用于当前标识的action方法中。

 

2.Controller上的过滤器是否会继承父Controller上的过滤器

会的,只要在父Controller上标识了过滤器,其子Controller也会执行这个过滤器。

见演示。

 

 

 

MVC内置的过滤器:

一、OutputCache

它有一个默认的构造器,并有很多属性,这里选择几个说明一下:

·Duration 缓存的时间周期,以秒计

·Location 用于指定输出缓存项的位置

这个属性是一个枚举值:

public enum OutputCacheLocation
{
    Any,
    Client,
    Downstream,
    Server,
    None,
    ServerAndClient
}

 

 

默认值是Any,表示输出缓存可用于所有请求,包括客户端浏览器、代理服务器或处理请求的服务器上。

·VaryByParam 定义了一个分号分隔的字符串列表,用于使输出缓存发生变化。默认情况下,这些字符串与用GET方法属性发送的查询字符串值对应,或与用POST方法 发送的参数对应。当将该属性设置为多参数时,对于每个指定的参数,输出缓存都包含一个请求文档的不同版本。可能的值包括“none”、“*”和任何有效的 查询字符串或POST参数名称。

·Shared 布尔值,用于指明输出缓存是否可以被多个页共享。默认值为false

·CacheProfile  用于定义与该页关联的缓存设置的名称,类似于与配置文件缓存名称关联。

·NoStore 个布尔值,用于决定是否阻止敏感信息的二级存储。

例如:对时间进行缓存,在视图中:

@DateTime.Now.ToString()

 

为Action添加缓存

         [OutputCache(Duration = 60, VaryByParam = "*")]
        public ActionResult Example()
         {
            return View();
         }

二、ValidateInput

该Action可以接受Html等危险代码

         [ValidateInput(false)]
        public ActionResult Example()
         {
            return View();
         }

三、ValidateAntiForgeryTokenAttribute

用于验证服务器篡改。

         [ValidateAntiForgeryToken]
        public ActionResult Example()
         {
            return View();
         } 

 

CompressFilterAttribute的使用

1.创建:

 

 

2.使用:

 

3.应用效果:

首先我们看看没有进行GZIP压缩的时候,首页的文件大小是多少?

 

 

 

再来看看执行了GZIP压缩后,文件的大小是多少?

 

压缩率为 71%。

 

ValidateAntiForgeryTokenAttribute的使用:

用于验证服务器篡改。模拟表单提交,加上后,可防止跨站攻击。

 

使用:1.在请求表单中添加:@Html.AntiForgeryToken();

页面上的Html.AntiForgeryToken()会给访问者一个默认为“RequestVerificationToken”的cookie和hide filed。

 

 

 

2. 在目标action上增加[ValidateAntiForgeryToken]特性,它是一个验证过滤器它主要检查

(1)请求的是否包含一个约定的AntiForgery名的cookie

(2)请求是否有一个Request.Form["约定的AntiForgery名"],约定的AntiForgery名的cookie和Request.Form值是否匹配

 

生成:Html.AntiForgeryToken()调用了AntiForgery静态类的GetHtml方法,它产生一个随机值然后分别存储到客户端cookie和页面的hidden field中。其中cookie的key的名字和页面hidden field的名字是一样的,默认都是"__RequestVerificationToken"。

 

如果页面中不存在id为” __RequestVerificationToken”的hidden field,或者Cookie中的key和页面中的hidden field 值不相等,则直接抛出HttpAntiForgeryException异常

 

 

 

参考网址:http://www.cnblogs.com/dragon_mail/archive/2011/07/10/2102364.html

http://www.cnblogs.com/ASPNET2008/archive/2010/03/09/1681990.html

http://msdn.microsoft.com/zh-cn/library/gg416513(v=vs.98).aspx

郑重声明:本站内容如果来自互联网及其他传播媒体,其版权均属原媒体及文章作者所有。转载目的在于传递更多信息及用于网络分享,并不代表本站赞同其观点和对其真实性负责,也不构成任何其他建议。