摘要：做網站的時候，經常碰到這種問題，一個沒登入的使用者，卻可以通過localhost:23244/Main/Index的方式進入到網站的內部，檢視網站的資訊。我們知道，這是極不安全的，那麼如何對這樣的操作進行攔截呢，這裡記錄我學到的一個小小方法。

以下是我要記錄的正文部分：

　　開始講之前宣告一點，我目前的能力著實很有限，有些東西並不很懂，也可能講不清楚，有些知識表述可能是錯誤的（儘量避免），主要是把我對這部分做法的理解記載下來，以後自己獨立開發的時候確保不會忘記。

　　非法登入攔截，主要用到的是.net mvc裡的過濾器。我們每次在執行一個方法時候，實際上程式會預先對我們設定的一些過濾條件進行驗證和判斷，而不同的過濾器作用的優先順序是不同的，在實現這個攔截功能的時候，用到的主要是全域性過濾器（關於過濾器的知識，瞭解並不深入，不詳述）。

具體的處理思路是這樣的：我們現在App_Start資料夾下的FilterConfig.cs檔案中註冊一個全域性過濾器，這個全域性過濾器的作用是——進行登入授權，也就是檢查你這個使用者是不是已經登入的合法使用者，如果不是，那麼你做的任何其他操作，系統都不會響應，而是一直把你堵在登入介面。接下來看一段程式碼：

程式碼：

using Console.App_Start;
using System.Web;
using System.Web.Mvc;

namespace Console
{
    public class FilterConfig
    {
        /// <summary>
 

        /// 註冊全域性過濾器
        /// </summary>
        /// <param name="filters"></param>
        public static void RegisterGlobalFilters(GlobalFilterCollection filters)
        {
            //filters.Add(new HandleErrorAttribute());
            //登入授權
            filters.Add(new AuthFilter());
        }
    }
}
 

上面的程式碼，主要看這一句  

 filters.Add(new AuthFilter());

這句的意思是，我在這裡註冊了一個名為 AuthFilter的過濾器，每次後臺執行某個動作之前，都必須先要通過這個過濾器的稽核，稽核通過執行某操作，稽核不通過有執行某操作。

下面，在App_Start下新建一個名為AuthFilter.cs的類，然後在這裡些授權條件，下面看一段程式碼：

程式碼如下：

using Console.Util;
using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;
using System.Web.Mvc;

namespace Console.App_Start
{
    public class AuthFilter:ActionFilterAttribute
    {
        public override void OnActionExecuting(ActionExecutingContext filterContext)
        {
            //如果使用者未登入，且action未明確標識可跳過登入授權，則跳轉到登入頁面
            if (!CacheUtil.IsLogin&&!filterContext.ActionDescriptor.IsDefined(typeof(AuthEscape),false))
            {
                const string loginUrl = "~/Main/Login";
                filterContext.Result = new RedirectResult(loginUrl);
            }
            base.OnActionExecuting(filterContext);
        }
    }
}

 以上程式碼只說明核心的攔截功能的實現，至於餘下的一些關於過濾器的使用語法之類的知識點，不會講述，因為我也不知道呀，只知道是這麼寫的。

重點看下面這一句：

 //如果使用者未登入，且action未明確標識可跳過登入授權，則跳轉到登入頁面
 if (!CacheUtil.IsLogin&&!filterContext.ActionDescriptor.IsDefined(typeof(AuthEscape),false))

 這是一個條件表示式，前一句 CacheUtil.IsLogin 是一個bool型別的值，為true則表示已經登入，為false則表示未登入，!CacheUtil.IsLogin表示未登入的意思，後一句 

filterContext.ActionDescriptor.IsDefined(typeof(AuthEscape),false))

 這裡重要的其實是這個 AuthEscape,這是一個定義過濾器特性的類，在這個我們只把它作為一個標誌，作為一個可以免除登入授權的標誌，具體使用是這樣的，比如，看下圖：

我們在執行任何一個方法之前都會經過全域性過濾的過濾，只有已經登入的使用者才能執行action方法。但是，因為我們的登入資訊是在登入之後才被記錄的，那我們的登入操作，登入校驗的操作不就也被擋在外面了嗎，這樣一來，豈不是永遠無法登入了嗎。所以呀，為了解決這個問題，我們就需要給這兩個方法每人發一塊免檢通行證，也就是在他們頭上寫一個[AuthEscape],只要有了這個標誌，那麼上面的那句程式碼就會返回一個true,如果沒有，那麼就會返回false。假如既沒有登入，又沒有免檢通行證，那麼就會被攔在登入介面上。

AuthEscape.cs的程式碼如下：

程式碼：

using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;
using System.Web.Mvc;

namespace Console.App_Start
{
    /// <summary>
    /// 用於標記無需登入授權驗證的Action,無任何實現，在那個action上面標註這個，就可以逃過全域性過濾器的過濾
    /// </summary>
    public class AuthEscape:ActionFilterAttribute
    {

    }
}

 是的，這個類裡面是空的，因為我們並不需要這裡有任何內容，我們只需要在免檢的方法上掛上這個類的名字，僅此而已。這一整個流程，可以用如下的示意圖來簡要表示：

關於這部分呢內容就記錄到這裡了，希望能幫到你哦。

有需要程式碼的同學，可以在下面留言郵箱，工作日的時候會盡快發給你。

我的QQ郵箱:[email protected]