自定AuthenticationFilter實現Basic認證

HTTP基本認證
當沒有訪問需要認證(還沒有認證通過)的網站時，瀏覽器自動跳出登入對話框

自定一個 Filter:

public class MyAutheticationAttribute : FilterAttribute, IAuthenticationFilter
    {
        /* basic 驗證的 http header
         *     401 Unauthorizted
         *         WWW-Authenticate: Basic realm="Secure Area"
         *     請求登入
         *         Authorization: Basic {base64編碼過的登錄信息}
         */
        public const string AuthoriztionHeaderName = "Authorization";
        public const string WwwAuthenticationHeaderName = "WWW-Authenticate";
        public const string BasicAuthenticationScheme = "Basic";
        private static Dictionary<string, string> userAccounters;
 
        static MyAutheticationAttribute()
        {
            // 為了簡單測試起見，將一些帳號密碼存放到一個靜態欄位中
            userAccounters = new Dictionary<string, string>(StringComparer.OrdinalIgnoreCase);
            userAccounters.Add("Ian", "1234");
            userAccounters.Add("Peter", "1111");
            userAccounters.Add("Jay", "2222");
        }
 
        // 具體的認證實現
        public void OnAuthentication(AuthenticationContext filterContext)
        {
            IPrincipal user;
            if (this.IsAuthenticated(filterContext, out user))
            {
                filterContext.Principal = user;
            }
            else
            {
                this.ProcessUnauthenticatedRequest(filterContext);
            }
        }
 
        //
        protected virtual AuthenticationHeaderValue GetAuthenticationHeaderValue(AuthenticationContext filterContext)
        {
            // Authorization 內容
            string rawValue = filterContext.RequestContext.HttpContext.Request.Headers[AuthoriztionHeaderName];
            if (string.IsNullOrEmpty(rawValue))
            {
                return null;
            }
            string[] split = rawValue.Split(' ');
            if (split.Length != 2)
            {
                return null;
            }
            return new AuthenticationHeaderValue(split[0], split[1]);
        }
 
        // 判斷是否通過驗證
        protected virtual bool IsAuthenticated(AuthenticationContext filterContext, out IPrincipal user)
        {
            user = filterContext.Principal;
            if (null != user && user.Identity.IsAuthenticated)
            {
                return true;
            }
            AuthenticationHeaderValue token = this.GetAuthenticationHeaderValue(filterContext);
            if (null != token && token.Scheme == BasicAuthenticationScheme) // "Basic"
            {
                string credential = Encoding.Default.GetString(Convert.FromBase64String(token.Parameter));
                string[] split = credential.Split(':'); // {UserNamr}:{Password}
                if (split.Length == 2)
                {
                    string userName = split[0];
                    string password;
                    if (userAccounters.TryGetValue(userName, out password))
                    {
                        if (password == split[1])
                        {
                            // 認證成功的情況下得到代表請求用戶的 Principal 對象
                            GenericIdentity identiry = new GenericIdentity(userName);
                            user = new GenericPrincipal(identiry, new string[0]);
                            return true;
                        }
                    }
                }
            }
 
            return false;
        }
 
        // 沒有通過請求
        protected virtual void ProcessUnauthenticatedRequest(AuthenticationContext filterContext)
        {
            string parameter = string.Format("realm=\"{0}\"", filterContext.RequestContext.HttpContext.Request.Url.DnsSafeHost);
            AuthenticationHeaderValue challenge = new AuthenticationHeaderValue(BasicAuthenticationScheme, parameter);
            filterContext.HttpContext.Response.Headers[WwwAuthenticationHeaderName] = challenge.ToString();
            filterContext.Result = new HttpUnauthorizedResult();
        }
 
        public void OnAuthenticationChallenge(AuthenticationChallengeContext filterContext)
        {
            // throw new NotImplementedException();
        }
    }

應用在Controller:

    [MyAuthetication]
public class HomeController : Controller
{
    public void Index()
    {
        Response.Write(string.Format("Controller.User: {0}<br/>", this.User.Identity.Name));
        Response.Write(string.Format("HttpContext.User: {0}<br/>", this.ControllerContext.HttpContext.User.Identity.Name));
        Response.Write(string.Format("Thread.CurrentPrincipal.Identity.Name: {0}<br/>", Thread.CurrentPrincipal.Identity.Name));
    }
}

非同步Action

非同步Action方法有兩種定義方式
1：XxxAsync/XxxCompleted

public class HomeController : AsyncController
{
    // GET : /Home/Article (在繼承自AsyncController裡的Controller才能使用Article當Action名稱)
    // 非同步操作
    public void ArticleAsync()
    {
        // 開始非同步的時候，先使用 AsyncManager.OutstandingOperations 取得一個 OperationCounter 對象，
        // 然後調用 Increment() 方法向系統發一個非同步操作開始的通知，OperationCounter 會 +1
        // 結束的時候調用 Decrement()，OperationCounter 會 -1，在發法結束時，當OperationCounter 為 0 才會自動調用 ArticleCompleted() 方法

        AsyncManager.OutstandingOperations.Increment();
        string path = ControllerContext.HttpContext.Server.MapPath(string.Format(@"\Project_Readme.html"));
        StreamReader reader = new StreamReader(path);
        reader.ReadToEndAsync().ContinueWith(Task =>
        {
            AsyncManager.Parameters["content"] = Task.Result; // 保存要給 ArticleCompleted() 方法的參數，必須與參數同名("content")才能自動匹配
            AsyncManager.OutstandingOperations.Decrement(); // 自動調用 ArticleCompleted() 方法
            reader.Close();
        });
    }
 
    // 非同步最終請求的響應，ArticleAsync 方法的回調
    // content 參數來自 AsyncManager.Parameters["content"]
    public ActionResult ArticleCompleted(string content)
    {
        return Content(content);
    }
}

以 XxxAsync/XxxCompleted 方式定義非同步 Action 方法，表示說必需得為一個 Action 定義兩個方法(實際上可以通過一個方法完成 Action 非同步的定義，那就是讓 Action 方法返回一個代表非同步操作的 Task 對象)。

這方式只能出現在繼承自 AsyncController 的 Controller 中，但是 Task 方式沒有限制(保留 AsyncController 這個抽象類主要是為了實現對 ASP.NET MVC 3 的向後兼容)。

2：Task

public Task<ActionResult> Article()
{
    string path = ControllerContext.HttpContext.Server.MapPath(string.Format(@"\Project_Readme.html"));
    StreamReader reader = new StreamReader(path);
    return reader.ReadToEndAsync().ContinueWith<ActionResult>(task =>
    {
        reader.Close();
        return Content(task.Result);
    });
}

由於 Action 返回一個 Task<ActionResult> 對象，所以可以利用 async/await 關鍵字 (C# 5.0) 直接將其標示為非同步

public async Task<ActionResult> Article()
{
    string path = ControllerContext.HttpContext.Server.MapPath(string.Format(@"\Project_Readme.html"));
    using (StreamReader reader = new StreamReader(path))
    {
        return Content(await reader.ReadToEndAsync());
    }
}

IController、ControllerBase 和 Controller

當在 ASP.NET MVC 專案建立一個 Controller 時，Visual Studio 會產生一個以 "Controller" 為結尾並繼承 Controller 抽象類別的新類別，例如：

HomeController : Controller

以下為繼承關係
Controller 抽象類別 --> ControllerBase 抽象類別 --> IController 介面

IController：
唯一的目的在 Controller 接收請求時，Execute() 方法會執行一些code

// 摘要: 
//     定義控制器所需的方法。
public interface IController
{
    // 摘要: 
    //     執行指定的要求內容。
    //
    // 參數: 
    //   requestContext:
    //     要求內容。
    void Execute(RequestContext requestContext);
}

Execute() 方法在 MvcHandler 的 ProcessRequest() 方法中被調用；Execute() 方法接收 RequestContext 類別參數，RequestContext 類別封裝了 RouteData(在UrlRoutingModule中解析Http產生的路由數據)與 HttpContext 用來表示當前請求的上下文。


ControllerBase：
定義了 Controller 使用到的部分公共屬性，比如：用來保存臨時數據的 TempData，用來返回到 View 中的 Model 數據對象 ViewBag、ViewData；並且初始化了ControllerContext 對象，用來作為後續Controller使用的數據容器和操作上下文



public abstract class ControllerBase : IController
{
    //省略其他成員
 
    protected virtual void Execute(RequestContext requestContext)
    {
        if (requestContext == null)
        {
            throw new ArgumentNullException("requestContext");
        }
        if (requestContext.HttpContext == null)
        {
            throw new ArgumentException(MvcResources.ControllerBase_CannotExecuteWithNullHttpContext, "requestContext");
        }
 
        VerifyExecuteCalledOnce();
        Initialize(requestContext);
 
        using (ScopeStorage.CreateTransientScope())
        {
            //執行ExecuteCore方法
            ExecuteCore();
        }
    }
    // 該方法在衍生的Controller類中實現
    protected abstract void ExecuteCore();
 
    protected virtual void Initialize(RequestContext requestContext)
    {
        ControllerContext = new ControllerContext(requestContext, this);
    }
    internal void VerifyExecuteCalledOnce()
    {
        if (!_executeWasCalledGate.TryEnter())
        {
            string message = String.Format(CultureInfo.CurrentCulture,
              MvcResources.ControllerBase_CannotHandleMultipleRequests, GetType());
            throw new InvalidOperationException(message);
        }
    }
    void IController.Execute(RequestContext requestContext)
    {
        Execute(requestContext);
    }
}

ControllerBase 實作了 Execute() 方法，負責建立 ControllerContext(提供MVC當前請求的具體上下文)，ControllerBase 以“顯式介面實現”的方式定義了Execute() 方法，該方法在內部直接調用受保護的 Execute() 虛方法，而後者最終會調用抽象方法 ExecuteCore() 方法。

Controller 繼承自 ControllerBase 並實現抽象方法ExecuteCore()