2. 程式人生 > >對InvokeAction簡略分析瞭解驗證失敗為什麼Action還會繼續執行

對InvokeAction簡略分析瞭解驗證失敗為什麼Action還會繼續執行

阿新 發佈:2018-12-29

一、前言

有些同學使用AuthorizationFilter來進行使用者是否登入驗證,如果未登入就跳到登入頁。

很簡單的一個場景,但是有些同學會發現雖然驗證失敗了,但是整個Action還會執行一遍。

於是google啊google啊,然後找到了解決方案,但是不知為啥,下面就對InvokeAction的簡略分析,說說到底是為啥。

二、分析InvokeAction執行順序

1、首先獲取Controller和Action描述類

ControllerDescriptor controllerDescriptor = GetControllerDescriptor(controllerContext);
ActionDescriptor actionDescriptor 
 
= FindAction(controllerContext, controllerDescriptor, actionName);

2、大家都知道每個Action執行前會先執行一些Filters,所以首先需要獲取所有FilterScope為Action的Filters

FilterInfo filterInfo = GetFilters(controllerContext, actionDescriptor);

3、Filter的執行是有順序的,AuthenticationFilter最先執行,接下來就是執行AuthenticationFilter的程式碼

AuthenticationContext authenticationContext = InvokeAuthenticationFilters(controllerContext, filterInfo.AuthenticationFilters, actionDescriptor);

這裡要注意,AuthenticationContext有個屬性Result,如果驗證失敗一定要設定這個屬性的值,否則看看下面的程式碼就知道了。

if (authenticationContext.Result != null)
{
    // An authentication filter signaled that we should short-circuit the request. Let all
    // authentication filters contribute to an action result (to combine authentication
    
 
// challenges). Then, run this action result.
    AuthenticationChallengeContext challengeContext = InvokeAuthenticationFiltersChallenge(
        controllerContext, filterInfo.AuthenticationFilters, actionDescriptor,
        authenticationContext.Result);
    InvokeActionResult(controllerContext, challengeContext.Result ?? authenticationContext.Result);
}
else
{
    ...
}

看到了吧,如果你設定Result的值,此時就會執行你設定的Result,如果不設定就會繼續走下去,會走哪去,一直往後看,你就知道了。

插一下,我們先看看 InvokeActionResult(ControllerContext controllerContext, ActionResult actionResult)是什麼東東。

protected virtual void InvokeActionResult(ControllerContext controllerContext, ActionResult actionResult)
{
    actionResult.ExecuteResult(controllerContext);
}

這個方法看字面意思是執行一個ActionResult,還是看兩個簡單的例子吧。

(1)ContentResult

public override void ExecuteResult(ControllerContext context)
{
    if (context == null)
    {
        throw new ArgumentNullException("context");
    }

    HttpResponseBase response = context.HttpContext.Response;

    if (!String.IsNullOrEmpty(ContentType))
    {
        response.ContentType = ContentType;
    }
    if (ContentEncoding != null)
    {
        response.ContentEncoding = ContentEncoding;
    }
    if (Content != null)
    {
        response.Write(Content);
    }
}

 很簡單吧,就是把你設定的Content輸出到頁面中,用的也是response.Write(content)方法,所以在Mvc中完全可以用ContentResult替換response.Write(content).

 (2)HttpStatusCodeResult

public override void ExecuteResult(ControllerContext context)
{
    if (context == null)
    {
        throw new ArgumentNullException("context");
    }

    context.HttpContext.Response.StatusCode = StatusCode;
    if (StatusDescription != null)
    {
        context.HttpContext.Response.StatusDescription = StatusDescription;
    }
}

HttpStatusCodeResult 是HttpUnauthorizedResult 的基類,HttpUnauthorizedResult是什麼?自己看字面意思也看出來了。

這個Result的ExecuteResult的更簡單,只是設定Response.StatusCode和StatusDescription。

4、回到InvokeAction中來,接著InvokeAuthenticationFilters這個方法的執行往下看 

if (authenticationContext.Result != null)已經解釋了,然後看看else。else中就開始執行AuthorizationFilters了,此處終於知道為什麼AuthenticationFilters執行在前了吧。

只有authenticationContext.Result不設定值的時候,才會執行AuthorizationFilters,所以如果你想AuthenticationFilters驗證失敗之後,就退出Action,一定要設定Result.

其實AuthorizationFilters的執行方式和AuthenticationFilters類似,如果設定了AuthorizationContext的Result屬性,就會執行Result,否則就繼續往下執行。

AuthorizationContext authorizationContext = InvokeAuthorizationFilters(controllerContext, filterInfo.AuthorizationFilters, actionDescriptor);
if (authorizationContext.Result != null)
{
    // An authorization filter signaled that we should short-circuit the request. Let all
    // authentication filters contribute to an action result (to combine authentication
    // challenges). Then, run this action result.
    AuthenticationChallengeContext challengeContext = InvokeAuthenticationFiltersChallenge(
        controllerContext, filterInfo.AuthenticationFilters, actionDescriptor,
        authorizationContext.Result);
    InvokeActionResult(controllerContext, challengeContext.Result ?? authorizationContext.Result);
}
else
{
    // 如果你沒有其他的Filters、沒有設定OnActionXXX等等,你的Action內的程式碼就會在這裡被呼叫執行了。
    ...
}

看到這裡,是不是有些同學會想:“原來如此啊”。

三、總結

由於微軟沒有提供AuthenticationFilter對應的基類,只提供了一個IAuthenticationFilter,所以我們就用AuthorizeAttribute來進行總結。

一些同學自定義AuthorizationFilters的時候,程式碼結尾沒有呼叫基類的 OnAuthorization,也沒有設定FilterContext的Result屬性,只是進行Response.Redirect或者其他認為跳出Action執行的程式碼。這樣其實等於沒有進行驗證,Action中的程式碼還是會執行。

在進行AuthorizationFilters的時候,如果想驗證失敗之後,不執行Action的方法,可以有以下兩種方法:

(1)呼叫基類的 OnAuthorization,我們看看基類 OnAuthorization 都幹了啥?

public virtual void OnAuthorization(AuthorizationContext filterContext)
{
    ...

    if (AuthorizeCore(filterContext.HttpContext))
    {
        ...
    }
    else
    {
        HandleUnauthorizedRequest(filterContext); // 主要看這個方法
    }
}
protected virtual void HandleUnauthorizedRequest(AuthorizationContext filterContext)
{
    // Returns HTTP 401 - see comment in HttpUnauthorizedResult.cs.
    filterContext.Result = new HttpUnauthorizedResult();
}

HttpUnauthorizedResult:這個類有沒有看著眼熟,對了,就是前面講Result中的第二個例子的子類。

(2)給filterContext的Result屬性設定一個Result,即使是EmptyResult都可以,如果你想輸出點內容到頁面中,那就使用ContetResult,前面說過它是通過呼叫Response.Write()來實現的。

最後附上ControllerActionInvoker:InvokeAction(L230)方法的詳細內容:

public virtual bool InvokeAction(ControllerContext controllerContext, string actionName)
{
    if (controllerContext == null)
    {
        throw new ArgumentNullException("controllerContext");
    }

    Contract.Assert(controllerContext.RouteData != null);
    if (String.IsNullOrEmpty(actionName) && !controllerContext.RouteData.HasDirectRouteMatch())
    {
        throw new ArgumentException(MvcResources.Common_NullOrEmpty, "actionName");
    }

    ControllerDescriptor controllerDescriptor = GetControllerDescriptor(controllerContext);
    ActionDescriptor actionDescriptor = FindAction(controllerContext, controllerDescriptor, actionName);

    if (actionDescriptor != null)
    {
        FilterInfo filterInfo = GetFilters(controllerContext, actionDescriptor);

        try
        {
            AuthenticationContext authenticationContext = InvokeAuthenticationFilters(controllerContext, filterInfo.AuthenticationFilters, actionDescriptor);

            if (authenticationContext.Result != null)
            {
                // An authentication filter signaled that we should short-circuit the request. Let all
                // authentication filters contribute to an action result (to combine authentication
                // challenges). Then, run this action result.
                AuthenticationChallengeContext challengeContext = InvokeAuthenticationFiltersChallenge(
                    controllerContext, filterInfo.AuthenticationFilters, actionDescriptor,
                    authenticationContext.Result);
                InvokeActionResult(controllerContext, challengeContext.Result ?? authenticationContext.Result);
            }
            else
            {
                AuthorizationContext authorizationContext = InvokeAuthorizationFilters(controllerContext, filterInfo.AuthorizationFilters, actionDescriptor);
                if (authorizationContext.Result != null)
                {
                    // An authorization filter signaled that we should short-circuit the request. Let all
                    // authentication filters contribute to an action result (to combine authentication
                    // challenges). Then, run this action result.
                    AuthenticationChallengeContext challengeContext = InvokeAuthenticationFiltersChallenge(
                        controllerContext, filterInfo.AuthenticationFilters, actionDescriptor,
                        authorizationContext.Result);
                    InvokeActionResult(controllerContext, challengeContext.Result ?? authorizationContext.Result);
                }
                else
                {
                    if (controllerContext.Controller.ValidateRequest)
                    {
                        ValidateRequest(controllerContext);
                    }

                    IDictionary<string, object> parameters = GetParameterValues(controllerContext, actionDescriptor);
                    ActionExecutedContext postActionContext = InvokeActionMethodWithFilters(controllerContext, filterInfo.ActionFilters, actionDescriptor, parameters);

                    // The action succeeded. Let all authentication filters contribute to an action result (to
                    // combine authentication challenges; some authentication filters need to do negotiation
                    // even on a successful result). Then, run this action result.
                    AuthenticationChallengeContext challengeContext = InvokeAuthenticationFiltersChallenge(
                        controllerContext, filterInfo.AuthenticationFilters, actionDescriptor,
                        postActionContext.Result);
                    InvokeActionResultWithFilters(controllerContext, filterInfo.ResultFilters,
                        challengeContext.Result ?? postActionContext.Result);
                }
            }
        }
        catch (ThreadAbortException)
        {
            // This type of exception occurs as a result of Response.Redirect(), but we special-case so that
            // the filters don't see this as an error.
            throw;
        }
        catch (Exception ex)
        {
            // something blew up, so execute the exception filters
            ExceptionContext exceptionContext = InvokeExceptionFilters(controllerContext, filterInfo.ExceptionFilters, ex);
            if (!exceptionContext.ExceptionHandled)
            {
                throw;
            }
            InvokeActionResult(controllerContext, exceptionContext.Result);
        }

        return true;
    }

    // notify controller that no method matched
    return false;
}
View Code

相關推薦

InvokeAction簡略分析瞭解驗證失敗為什麼Action繼續執行

一、前言 有些同學使用AuthorizationFilter來進行使用者是否登入驗證,如果未登入就跳到登入頁。 很簡單的一個場景,但是有些同學會發現雖然驗證失敗了,但是整個Action還會執行一遍。 於是google啊google啊,然後找到了解決方案,但是不知為啥,下面就對InvokeAction的簡

javascript中錶單的submit驗證以及action提交,及它們的區別。

這裡有一篇學習中程式碼,以作分析 <html> <script language="javascript">  function on_submit()  {//驗證資料的合法

一個或多個實體的驗證失敗。有關詳細信息,請參閱“EntityValidationErrors”屬性。

sys date 錯誤 onerror conf erro fig 站點 更新 問題原因可能是: 1. 非空列未插入值錯誤 2. 多個表間外鍵列長度不一樣 3. ef上下文對象db為空 4. ef上下文設置屬性為 db.Configurat

一例一個或多個實體的驗證失敗。有關詳細信息,請參閱“EntityValidationErrors”屬性的解決

tro https span cep 實例 tps lte .data 防止 這個問題相信只要是做MVC的,都碰到過,也都知道錯誤的原因,就是觸發了定義的實例字段校驗規則。比如定義的不為空,但是為空了,或者定義的字段長度為50,但是超過50了。 可是有時雖然知道是這樣,

一個或多個實體的驗證失敗。有關詳細信息,請參閱“EntityValidationErrors”屬性

限制 employee .cn 這才 public 主鍵 zha 技術分享 大小 使用asp.net+EF5.0練習的時候,遇到這樣一個問題:   對一個或多個實體的驗證失敗。有關詳細信息,請參見“EntityValidationErrors”屬性 但是感到很疑惑,去百

轉:【Java並發編程】之十六:深入Java內存模型——happen-before規則及其DCL的分析(含代碼)

無需 bit 對象引用 說了 final 緩存 機器 通過 round 轉載請註明出處:http://blog.csdn.net/ns_code/article/details/17348313 happen—before規則介紹 Java語言中有一個“先行發生

js 表單的一些驗證及正則匹配

攻擊 update 匹配規則 asc htm out gin lease public 利用的是jq的validate.js 詳見菜鳥教程http://www.runoob.com/jquery/jquery-plugin-validate.html 以下是我測試的幾個文件

象引用分析

運算 計數器 宋體 sre 計算 不足 間接 cnblogs 如何 對象的三種狀態: 可達的 從根節點可以觸及到這個對象 可復活的 一旦所有引用被釋放,就是可復活狀態 因為在finalize()中可能復活該對象 不可達的 在finalize()後,可能會進入不可觸及狀態

WEBAPI使用過濾器API接口進行驗證

anon log req code oid 是否 func parameter html 用戶登錄控制器:[ActionFilter]自定義過濾器 用戶信息:var userData = new JObject(); userData.A

https 調用驗證失敗 peer not authenticated

實現 不同 not org 失敗 下載 efault ltr net https 調用驗證失敗 peer not authenticated 報錯日誌: Caused by: javax.net.ssl.SSLPeerUnverifiedException: pe

關於Java面向象的分析

文件名 blog 默認 兩個 成員 ref tro pub struct 分析程序看有沒有問題,如果有,說出原因即可。-----------------------------------------------------------------------------1

C++象模型分析(四十三)

C++ 虛函數表 多態 內存對象模型 繼承對象模型 我們學習了 C++ 這麽長時間了,我們來看看 C++ 中對象的本質。它裏面是用 class 定義的對象,class 是一種特殊的 struct。在內存中 class 依舊可以看做變量的集合,class 與 struct 遵

50-C++象模型分析(上)

依次 分析 sin bsp get 本質 過程 ons 結構體 回歸本質 class是一種特殊的struct: ? 在內存中class依舊可以看作變量的集合 ? class與struct遵循相同的內存對其規則 ? class中的成員函數與成員變量是分開存放的:(1)

創建BDC域控制器時,提示“出站復制驗證失敗。在復制源域控制器上未啟用出站復制”的解決辦法

AR AD text DG TP blog ESS sha 圖片 創建BDC域控制器時,在完成角色添加後的部署界面,進行配置後的先決條件檢查,提示失敗如下: 後在現有DC上通過windows powershell(CMD管理員模式)運行repadmin /showrepl,

C++語言學習(十三)——C++象模型分析

查找 char 無法 table ret variables 生成 dba 通過 C++語言學習(十三)——C++對象模型分析 一、C++對象模型分析 1、類對象模型的內存布局 class是一種特殊的struct,class與struct遵循相同的內存對齊原則,class中

oracle匯入時提示IMP-00010:不是有效的匯出檔案,頭部驗證失敗

閱讀目錄 問題描述 原因分析 解決方案 1、可直接將dmp檔案用notepad++開啟修改版本號為被匯入版本的版本號 2、檔案過大,無法開啟,可使用工具修改 問題描述 oracle匯入時提示IMP-0001

ThinkPHP 3.2.3響應微信傳送的Token驗證失敗

1、伺服器配置是阿里雲的linux 2、下載微信的Token驗證Demo,放於根目錄測試連結沒有任何問題:URL http://www.XXX.com/wx_sample.phpToken weixin 3、將驗證程式碼置於TP框架中(application/Weixin/Controller/Index

ThinkPHP 3.2.3響應微信發送的Token驗證失敗

返回 nat 2.3 names isset nonce pre class 發送 1、服務器配置是阿裏雲的linux 2、下載微信的Token驗證Demo,放於根目錄測試鏈接沒有任何問題:URL http://www.XXX.com/wx_sample.phpTo

轉:使用Mosquitto-Auth-Pluginmqtt客戶端進行驗證

https://www.lixiaodong.com/?p=1631.安裝需要的包sudo apt-get install libc-ares-dev libcurl4-openssl-dev libmysqlclient-dev2.下載mosquitto原始碼並編譯安裝從http://mosquitto.o

dubbo原始碼學習(二)dubbo容器啟動流程簡略分析

dubbo版本2.6.3 繼續之前的dubbo原始碼閱讀,從com.alibaba.dubbo.container.Main.main(String[] args)作為入口 簡單的資料一下啟動的流程 1、com.alibaba.dubbo.container.Main.main(String[] arg