本系列主要翻譯自《ASP.NET MVC Interview Questions and Answers 》- By Shailendra Chauhan,想看英文原版的可訪問http://www.dotnettricks.com/free-ebooks自行下載。該書主要分為兩部分,ASP.NET MVC 5、ASP.NET WEB API2。本書最大的特點(diǎn)是以面試問答的形式進(jìn)行展開。通讀此書,會(huì)幫助你對(duì)ASP.NET MVC有更深層次的理解。
由于個(gè)人技術(shù)水平和英文水平也是有限的,因此錯(cuò)誤在所難免,希望大家多多留言指正。
系列導(dǎo)航
Asp.net mvc 知多少(一)
Asp.net mvc 知多少(二)
Asp.net mvc 知多少(三)
Asp.net mvc 知多少(四)
Asp.net mvc 知多少(五)
Asp.net mvc 知多少(六)
Asp.net mvc 知多少(七)
Asp.net mvc 知多少(八)
Asp.net mvc 知多少(九)
Asp.net mvc 知多少(十)
本節(jié)主要講解過濾器
Q78. 介紹下ASP.NET MVC中的 Filters(過濾器) 和 Attributes(特性)?
Ans. ASP.NET MVC 提供了一種簡(jiǎn)單的方式在action執(zhí)行之前或之后注入一段代碼或邏輯,它就是ASP.NET MVC attributes,通過在Controller或者Action上使用Attributes來修飾即可??梢宰远x過濾器或特性通過實(shí)現(xiàn)ASP.NET
MVC filter 接口或繼承并重載ASP.NET MVC filter attribute類。
通常,過濾器被用來執(zhí)行以下常見的功能點(diǎn):
- Custom Authentication(自定義認(rèn)證)
- Custom Authorization (User based or Role based)(自定義授權(quán)-基于用戶或角色)
- Error handling or logging(異常處理或記錄日志)
- User Activity Logging(用戶活動(dòng)日志)
- Data Caching(數(shù)據(jù)緩存)
- Data Compression(數(shù)據(jù)壓縮)
Q79. 介紹下ASP.NET MVC中幾種不同的Filters(過濾器) ?
Ans. 主要有以下五種類型Filters:
Authentication Filters(認(rèn)證過濾器) - 該過濾器是從ASP.NET MVC5中引入的。IAuthenticationFilter
接口是用來創(chuàng)建自定義認(rèn)證過濾器。IAuthenticationFilter
定義如下:
public interface IAuthenticationFilter
{
void OnAuthentication(AuthenticationContext filterContext);
void OnAuthenticationChallenge(AuthenticationChallengeContext
filterContext);
}
通過實(shí)現(xiàn)IAuthenticationFilter
接口,即可實(shí)現(xiàn)自定義的認(rèn)證過濾特性。
public class CustomAuthenticationFilterAttribute : FilterAttribute,
IAuthenticationFilter
{
public void OnAuthentication(AuthenticationContext filterContext)
{
filterContext.HttpContext.Response.Write("Authentication
Filter<br/>");
}
//Runs after the OnAuthentication method
public void OnAuthenticationChallenge(AuthenticationChallengeContext
filterContext)
{
//TODO: Additional tasks on the request
}
}
Authorization Filters(授權(quán)過濾器) - ASP.NET MVC的授權(quán)過濾器實(shí)現(xiàn)了IAuthorizationFilter
接口。
public interface IAuthorizationFilter
{
void OnAuthorization(AuthorizationContext filterContext);
}
AuthorizeAttribute
提供了以下可重載的方法:
public class AuthorizeAttribute : FilterAttribute, IAuthorizationFilter
{
protected virtual bool AuthorizeCore(HttpContextBase httpContext);
protected virtual void HandleUnauthorizedRequest(AuthorizationContext
filterContext);
public virtual void OnAuthorization(AuthorizationContext filterContext);
protected virtual HttpValidationStatus
OnCacheAuthorization(HttpContextBase httpContext);
}
所以,我們可以通過實(shí)現(xiàn)IAuthorizationFilter
接口或者繼承AuthorizeAttribute
類然后重載虛方法來創(chuàng)建自定義的授權(quán)過濾器。
Action Filters(操作過濾器) - Action filters 在action執(zhí)行之前和之后執(zhí)行。IActionFilter
接口提供了OnActionExecuting
和 OnActionExecuted
方法分別對(duì)應(yīng)action之前和action之后執(zhí)行。
public interface IActionFilter
{
void OnActionExecuting(ActionExecutingContext filterContext);
void OnActionExecuted(ActionExecutedContext filterContext);
}
** Result Filters(結(jié)果過濾器)** - Result filters在為action生成結(jié)果之前和和之后執(zhí)行。返回的結(jié)果可以是 ViewResult、PartialViewResult、RedirectToRouteResult、RedirectResult、ContentResult、JsonResult、FileResult 和 EmptyResult ,它們均繼承自 ActionResult 類。Result filters 在Action Filters之后調(diào)用。
IResultFilter
接口提供了OnResultExecuting
和 OnResultExecuted
方法分別對(duì)應(yīng)生成結(jié)果之前和之后執(zhí)行。
public interface IResultFilter
{
void OnResultExecuted(ResultExecutedContext filterContext);
void OnResultExecuting(ResultExecutingContext filterContext);
}
** Exception Filters (異常過濾器)** - Exception filters在action或者過濾器執(zhí)行期間出現(xiàn)異常時(shí)執(zhí)行。IExceptionFilter
接口提供了OnException
方法來處理異常。
public interface IExceptionFilter
{
void OnException(ExceptionContext filterContext);
}
HandleErrorAttribute
類實(shí)現(xiàn)了IExceptionFilter
接口。
當(dāng)HandleError
接收到異常,它會(huì)直接返回ASP.NET MVC Views/Shared 文件夾下的Error
視圖。
Q80. ASP.NET MVC的 Exception filters(異常過濾)何時(shí)執(zhí)行?
Ans. Exception filters 在ASP.NET MVC pipeline(管道)執(zhí)行期間有一個(gè)未處理的異常拋出時(shí)被執(zhí)行。
Q81. ASP.NET MVC中filters(過濾器)的執(zhí)行順序是?
Ans. 所有的 ASP.NET MVC filter都是按照一定的順序執(zhí)行。 執(zhí)行順序?yàn)椋?/p>
- Authentication filters(認(rèn)證過濾器)
- Authorization filters(授權(quán)過濾器)
- Action filters(操作過濾器)
- Result filters(結(jié)果過濾器)
Q82. ASP.NET MVC中如何配置過濾器?
Ans. 我們可以配置自定義的過濾器為以下三個(gè)級(jí)別:
Global level(全局級(jí)別)
將過濾器注冊(cè)到Global.asax.cs
文件的Application_Start
方法中:
protected void Application_Start()
{ FilterConfig.RegisterGlobalFilters(GlobalFilters.Filters);
}
Controller level(控制器級(jí)別)
通過將過濾器標(biāo)記在controller上即可。
[Authorize(Roles = "Admin")]
public class AdminController : Controller
{
//TODO:
}
Action level (操作級(jí)別)
通過將過濾器標(biāo)記在action上即可。
public class UserController : Controller
{
[Authorize(Users = "User1,User2")]
public ActionResult LinkLogin(string provider)
{
// TODO:
return View();
}
}
Q83. ASP.NET MVC中認(rèn)證和授權(quán)是如何工作的?
Ans. 像 ASP.NET一樣,MVC 也支持 Windows 和Forms 認(rèn)證??梢酝ㄟ^在Web.config中配置或自己編碼。
Q84. ASP.NET MVC中 Forms Authentication 和 Authorization(表單認(rèn)證和授權(quán))是如何工作的?
Ans. 和 ASP.NET一樣, MVC Forms authentication在IIS認(rèn)證完成之后發(fā)生??梢栽?ASP.NET MVC應(yīng)用程序中的Web.config文件的forms節(jié)點(diǎn)進(jìn)行配置。
默認(rèn)的表單認(rèn)證配置如下:
<system.web>
<authentication mode="Forms">
<forms loginUrl="Login.aspx"
protection="All"
timeout="30"
name=".ASPXAUTH"
path="/"
requireSSL="false"
slidingExpiration="true"
defaultUrl="default.aspx"
cookieless="UseDeviceProfile"
enableCrossAppRedirects="false" />
</authentication>
</system.web>
當(dāng)SetAuthCookie()
或RedirectFromLoginPage()
被調(diào)用時(shí)FormsAuthentication
類自動(dòng)創(chuàng)建認(rèn)證Cookie。 Authentication cookie(認(rèn)證Cookie)中包含一個(gè)已經(jīng)加密和簽名的FormsAuthenticationTicket
對(duì)象的字符串。
可以指定cookie的名稱、 版本、目錄路徑、生效日期、過期日期、是否永久屬性來創(chuàng)建FormsAuthenticationTicket
對(duì)象 。
FormsAuthenticationTicket ticket = new FormsAuthenticationTicket(1, "userName",
DateTime.Now,
DateTime.Now.AddMinutes(30), // value of time out property
false, // Value of IsPersistent property
String.Empty, FormsAuthentication.FormsCookiePath);
然后就可以使用FormsAuthentication
類的Encrypt
方法來加密ticket。
string encryptedTicket = FormsAuthentication.Encrypt(ticket);
Q85. ASP.NET MVC中如何實(shí)現(xiàn)自定義Forms Authentication and Authorization(表單認(rèn)證和授權(quán))?
Ans. 當(dāng)標(biāo)準(zhǔn)的認(rèn)證不能滿足你的需求,你就需要去修改認(rèn)證機(jī)制去創(chuàng)建自定義的認(rèn)證方案。一個(gè)用戶上下文有一個(gè)Principal,這個(gè)Principal代表用戶的身份(Identity)和角色(Role)。用戶通過ta的身份進(jìn)行認(rèn)證,通過給用戶分配角色來進(jìn)行授權(quán)。
ASP.NET 提供了IPrincipal
和IIdentity
接口來表示用戶的身份和角色。這兩個(gè)接口
綁定到HttpContext對(duì)象和當(dāng)前線程。可以通過實(shí)習(xí)這兩個(gè)接口來創(chuàng)建自定義的方案。
public class CustomPrincipal : IPrincipal
{
public IIdentity Identity { get; private set; }
public bool IsInRole(string role)
{
if (roles.Any(r => role.Contains(r)))
{
return true;
}
else
{
return false;
}
}
public CustomPrincipal(string Username)
{
this.Identity = new GenericIdentity(Username);
}
public int UserId { get; set; }
public string FirstName { get; set; }
public string LastName { get; set; }
public string[] roles { get; set; }
}
現(xiàn)在你就可以把CustomPrincipal
對(duì)象放入thread(線程)的 CurrentPrincipal
屬性和HttpContext的User
屬性來完成自定義的認(rèn)證和授權(quán)流程。
如果IsAuthenticated
返回true則表示用戶認(rèn)證成功。我們可以用以下兩種方式來完成對(duì)用戶的驗(yàn)證。
- Thread.CurrentPrincipal.Identity.IsAuthenticated
- HttpContext.Current.User.Identity.IsAuthenticated
ASP.NET MVC 提供了Authorization
授權(quán)過濾器來對(duì)用戶授權(quán)。該過濾器可適用于action級(jí)別、控制器級(jí)別和全局級(jí)別。該過濾器基于AuthorizeAttribute
特性類,可以通過繼承該特性并重載OnAuthorization()
方法來對(duì)授權(quán)過濾器進(jìn)行自定義。
public class CustomAuthorizeAttribute: AuthorizeAttribute {
protected virtual CustomPrincipal CurrentUser {
get {
return HttpContext.Current.User as CustomPrincipal;
}
}
public override void OnAuthorization(AuthorizationContext filterContext) {
if (filterContext.HttpContext.Request.IsAuthenticated) {
if (!String.IsNullOrEmpty(Roles)) {
if (!CurrentUser.IsInRole(Roles)) {
filterContext.Result = new RedirectToRouteResult(new RouteValueDictionary(new {
controller = "Error",
action = "AccessDenied"
}));
}
}
if (!String.IsNullOrEmpty(Users)) {
if (!Users.Contains(CurrentUser.UserId.ToString())) {
filterContext.Result = new RedirectToRouteResult(new RouteValueDictionary(new {
controller = "Error",
action = "AccessDenied"
}));
// base.OnAuthorization(filterContext); //returns to login url
}
}
}
}
}
現(xiàn)在你就可以像下面這樣應(yīng)用自定義的授權(quán)過濾器在控制器級(jí)別或者action級(jí)別。
[CustomAuthorize(Roles= "Admin")]
public class AdminController : BaseController
{
public ActionResult Index()
{
return View();
}
}
Q86. ASP.NET MVC如何允許輸入html tags?
Ans. ASP.NET MVC默認(rèn)不允許用戶去提交html去避免Cross Site Scripting(CSS)攻擊 。
ValidateInput
特性可以在action級(jí)別或controller級(jí)別啟用或禁用輸入校驗(yàn)。
[ValidateInput(false)]
public class HomeController : Controller
{
public ActionResult AddArticle()
{
return View();
}
}
ValidateInput
特性對(duì)所有屬性都允許html tag輸入,但這是不安全的。 如果你只是想針對(duì)部分屬性允許html輸入,可以通過為屬性添加AllowHtml
特性。
public class BlogModel
{
[Required]
[Display(Name = "Title")]
public string Title { get; set; }
[AllowHtml]
[Required]
[Display(Name = "Description")]
public string Description { get; set; }
}