轉載:
概述
從前面的章節我們知道HTTP Handler提供了類似於ISAPI Server Extention的功能,而HttpModule實現了類似於ISAPI Filter的功能。使用自訂的Handler會覆蓋系統預設的Handler,而Module是可以多個同時存在的。
HttpHandler與HttpModule簡單來說其實都是對一個請求內容相關的處理,但它們兩個所處的功能角色是完全不一樣的。我暫時還想不出一個既簡單又能體現HttpHandler優點的情境來,其實Page類就是一個實現了IHttpHandler的類,在Ajax中也有相關的實現,以及Asp.Net Forums V2中有兩個比較簡單的實現(AvatarHttpHandler和VCardHttpHandler),大家可以去參考一下。
下面是一個檢查使用者是否登入及模組授權的HttpModule樣本。
情境
一個網站,有一個首頁(Default.aspx),一個登入頁面(Login.aspx),兩個模組(模組1和模組2)。
一、 當使用者在未登入的情況下訪問網站的任一個頁面都會跳轉到登入頁面要求使用者登入,登入完成後跳轉到網站首頁並在每個頁面上顯示歡迎詞。
二、 假設有兩個使用者,一個“文野”,一個“stwyhm”,文野可以訪問模組1,stwyhm可以訪問模組2,當他們訪問各自有權訪問的模組時,顯示模組給出的歡迎詞,如果訪問的模組沒有存取權限,給出錯誤提示。其它使用者只能訪問指定模組以後的頁面。
樣本
using System;
using System.Collections.Generic;
using System.Text;
using System.Web;
namespace AuthorizationModule
{
/// <summary>
/// 說明:檢查使用者登入的Module
/// 作者:文野
/// 聯絡:stwyhm.cnblogs.com
/// </summary>
public class UserAuthorizationModule : IHttpModule
{
#region IHttpModule 成員
public void Dispose()
{ }
public void Init(HttpApplication context)
{
context.AcquireRequestState += new EventHandler(context_AcquireRequestState);
}
void context_AcquireRequestState(object sender, EventArgs e)
{
// 擷取應用程式
HttpApplication application = (HttpApplication)sender;
// 檢查使用者是否已經登入
if (application.Context.Session["UserName"] == null || application.Context.Session["UserName"].ToString().Trim() == "")
{
// 擷取Url
string requestUrl = application.Request.Url.ToString();
string requestPage = requestUrl.Substring(requestUrl.LastIndexOf('/') + 1);
// 如果請求的頁面不是登入頁面,剛重新導向到登入頁面。
if (requestPage != "Login.aspx")
application.Server.Transfer("Login.aspx");
}
else
{
// 已經登入,向每個請求的頁面列印歡迎詞。
application.Response.Write(string.Format("歡迎您。{0}。", application.Context.Session["UserName"]));
}
}
#endregion
}
/// <summary>
/// 說明:檢查使用者是否有權使用模組的Module
/// 作者:文野
/// 聯絡:stwyhm.cnblogs.com
/// </summary>
public class SystemModuleAuthorizationModule : IHttpModule
{
#region IHttpModule 成員
public void Dispose()
{
}
public void Init(HttpApplication context)
{
context.AcquireRequestState += new EventHandler(context_AcquireRequestState);
}
void context_AcquireRequestState(object sender, EventArgs e)
{
HttpApplication application = (HttpApplication)sender;
// 如果使用者未登入,則無需檢查模組授權,因為請求會被使用者登入Module重新導向到登入頁面。
if (application.Session["UserName"] == null)
return;
// 擷取使用者名稱和Url
string userName = application.Session["UserName"].ToString();
string url = application.Request.Url.ToString();
// 如果使用者沒有被授權,請求被終止,並列印提示資訊。
if (!Validator.CanUseModule(userName, url))
{
application.CompleteRequest();
application.Response.Write(string.Format("對不起。{0},您無權訪問此模組。", userName));
}
}
#endregion
}
public class Validator
{
/// <summary>
/// 檢查使用者是否被授權使用模組。
/// 文野可以使用模組,stwyhm可以使用模組,所有使用者都可以請求限定模組以外的頁面
/// </summary>
/// <param name="userName"></param>
/// <param name="url"></param>
/// <returns></returns>
public static bool CanUseModule(string userName, string url)
{
if (!url.Contains("模組"))
return true;
else if (userName == "文野" && url.Contains("模組1"))
return true;
else if (userName == "stwyhm" && url.Contains("模組2"))
return true;
else
return false;
}
}
}
頁面中除了簡單的登入儲存使用者名稱到Session的代碼及一些Html呈現代碼外無任何代碼。
執行結果
第一步:開啟網站首頁,因示登入被跳轉到登入頁面
第二步:登入成功後跳轉到首面。
第三步:訪問有權進入的模組1
第四步:訪問無權進入的模組2
開發注意點
無論是通過Url發出請求,還是一個按鈕引起的頁面回傳,對IIS來說是一樣的,都是一次請求。而HttpModule中的事件一般都在頁面事件前,特別是控制項事件,所以如果在HttpModule的事件中對請求進行過濾處理後就不會執行到頁面事件或控制項事件,這就是上面樣本的UserAuthorizationModule代碼中為什麼要對請求頁面是否是Login.aspx進行判斷的原因了。
總結
這裡兩個自訂的HttpModule實現了它們各自所要達到的過濾請求的功能,一個限制使用者登入,一個限制模組訪問,當然實際應用中比這要複雜許多。這樣的驗證方式是簡單的、安全的,代碼在修改時只要修改相應的HttpModule就可以了,無需在每個頁面都寫相同的驗證代碼,也不會發生在Url地址欄裡輸入一段Url就可以跳過登入及其它驗證的情況了。在這兩個HttpModule中,因為都要涉及到對Session的訪問,所有都使用了AcquireRequestState事件,大家可以根據實際情況使用不同的事件,可以參考我前面文章中的那副HttpModule生命週期圖。
Start building with 50+ products and up to 12 months usage for Elastic Compute Service
1 on 1 presale consultation
24/7 Technical Support 6 Free Tickets per Quarter Faster Response
Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.
A comprehensive suite of global cloud computing services to power your business
Payment Methods We Support
