Filter in ASP.NET MVC

      在Asp.net MVC中，filter为cross-cutting concerns提供一个简单的实现方式。它共有4类Filter：

     

下边分别来讲述。

      1. Authorization Filter

      Authorize filter可以用于action：

    [Authorize(Users = "adam, steve, bob", Roles = "admin")]
    public ActionResult Index()

也可以直接用于controller：

    [Authorize(Roles = "Trader")]
    public class AdminController : Controller

基于AuthorizeAttribute，我们扩展一个：

    public class CustomAuthorizeAttribute : AuthorizeAttribute
    {
        private string[] allowedUsers;

        public CustomAuthorizeAttribute() : this(new string[]{})
        {

        }

        public CustomAuthorizeAttribute(params string[] users)
        {
            this.allowedUsers = users;
        }

        protected override bool AuthorizeCore(HttpContextBase httpContext)
        {
            return httpContext.Request.IsAuthenticated && 
                allowedUsers != null && 
                allowedUsers.Contains(httpContext.User.Identity.Name, StringComparer.OrdinalIgnoreCase);

            //return httpContext.Request.IsLocal || base.AuthorizeCore(httpContext);
        }
    }

使用方式：

        [CustomAuthorize("Tom", "bob")]
        public ActionResult Manage()
        {
            return Content("");
        }

这时候可以看到，Manage只有Tom和Bob可以访问，其他人都权限不足。如果没有登录，系统会跳转到登录界面，强制让你登录。

      显然，这种方式对于ajax请求不是很合理。好，让我们写一个ajax权限验证的filter：

    public class AjaxAuthorizeAttribute : AuthorizeAttribute
    {
        protected override void HandleUnauthorizedRequest(AuthorizationContext filterContext)
        {
            if(filterContext.HttpContext.Request.IsAjaxRequest())
            {
                filterContext.Result = new JsonResult
                                           {
                                               Data = new {
                                                              Error = "Not Authorized",
                                                              LogOnUrl = new UrlHelper(filterContext.RequestContext).Action("LogOn", "Account")
                                                          },
                                               JsonRequestBehavior = JsonRequestBehavior.AllowGet
                                           };
            }
            else
            {
                base.HandleUnauthorizedRequest(filterContext);
            }
        }
    }

可以看到，我们是通过重写HandleUnauthorizedRequest方法，给访问权限不足的请求的response中不仅包含错误信息，还包含一个登录url，这样js中可以自由裁决如果处理了。

       2. Exception Filter

       exception filter只有当action被调用，有异常抛出时被触发。当然，异常可能来源于其他filer（authorization, action, 或者 result filter）、action自身、action结果被执行时。当异常被抛出时，如果没有exception filter将ExceptionContext的ExceptinHandled设置为true，mvc将调用默认的exception filter。

       来自定义一个：

    public class CustomExceptionAttribute : FilterAttribute, IExceptionFilter
    {
        public void OnException(ExceptionContext filterContext)
        {
            if(!filterContext.ExceptionHandled && filterContext.Exception is NullReferenceException)
            {
                filterContext.Result = new RedirectResult("/SpecialErrorPage.html");
                filterContext.ExceptionHandled = true;
            }
        }
    }

可以看到，当有它捕获到异常后，跳往SpecialErrorPage.html。当异常发生时，就可以以一个人性化的页面来展示。使用如下：

        [CustomException]
        public ActionResult About()
        {
            //object nullObj = null;
            //var str = nullObj.ToString();

            return View();
        }

     另外，内置HandleExceptionAttribute具有ExceptionType、View、Master等属性，也可以灵活利用。如：

        [HandleError(ExceptionType = typeof(NullReferenceException), Master = null, View = "NullRefer")]
        public ActionResult IamError()
        {
            object nullObj = null;

            return Content(nullObj.ToString());
        }

它可以捕获IamError内部的空引用异常，同时将以NullRefer页面来替代黄页。看页面代码：

@Model HandleErrorInfo
@{
    ViewBag.Title = "Sorry, there was a problem!";
}
<p>
There was a <b>@Model.Exception.GetType().Name</b>
while rendering <b>@Model.ControllerName</b>'s
<b>@Model.ActionName</b> action.
</p>
<p>
The exception message is: <b><@Model.Exception.Message></b>
</p>
<p>Stack trace:</p>
<pre>@Model.Exception.StackTrace</pre>

注意标黄部分，HandleErrorInfo是一个内置ViewModel，它宝航Exception、ControllerName、ActionName等属性。

      3. Action Filter

      先看IActionFilter接口的定义：

    public interface IActionFilter
    {
        void OnActionExecuting(ActionExecutingContext filterContext);
        void OnActionExecuted(ActionExecutedContext filterContext);
    }

它们一个在action执行之前执行，一个在action执行之后执行。如下：

    public class ProfileAttribute : FilterAttribute, IActionFilter
    {
        private Stopwatch timer;

        public void OnActionExecuting(ActionExecutingContext filterContext)
        {
            //if(!filterContext.HttpContext.Request.IsSecureConnection)
            //{
            //    filterContext.Result = new HttpNotFoundResult();
            //}

            timer = Stopwatch.StartNew();
        }

        public void OnActionExecuted(ActionExecutedContext filterContext)
        {
            // do nothing

            timer.Stop();
            if (filterContext.Exception == null)
            {
                filterContext.HttpContext.Response.Write(
                string.Format("Action method elapsed time: {0}",
                timer.Elapsed.TotalSeconds));
            }
        }
    }

你可以通过自定义action filter，来对action执行时间进行监控。也可以如上文被注释的代码那样，直接在OnActionExecuting方法中给ActionResult赋值，而在OnActionExecuted中不做任何事情。

      4. Result Filter

      IResultFilter接口定义：

    public interface IResultFilter
    {
        void OnResultExecuting(ResultExecutingContext filterContext);
        void OnResultExecuted(ResultExecutedContext filterContext);
    }

和action filter一样，你也可以用上述2个方法对result执行时间监控计时。mvc有个内置filter，同时实现了action filter和result filter：

    [AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, AllowMultiple = false, Inherited = true)]
    public abstract class ActionFilterAttribute : FilterAttribute, IActionFilter, IResultFilter
    {
        #region IActionFilter Members

        public virtual void OnActionExecuting(ActionExecutingContext filterContext);
        public virtual void OnActionExecuted(ActionExecutedContext filterContext);

        #endregion

        #region IResultFilter Members

        public virtual void OnResultExecuting(ResultExecutingContext filterContext);
        public virtual void OnResultExecuted(ResultExecutedContext filterContext);

        #endregion
    }

利用它，可以更方便的做监控了。如下:

    public class ProfileAllAttribute : ActionFilterAttribute
    {
        private Stopwatch timer;

        public override void OnActionExecuting(ActionExecutingContext filterContext)
        {
            timer = Stopwatch.StartNew();
        }

        public override void OnActionExecuted(ActionExecutedContext filterContext)
        {
            timer.Stop();
            filterContext.HttpContext.Response.Write(string.Format("Action method elapsed time: {0}", timer.Elapsed.TotalSeconds));
        }

        public override void OnResultExecuting(ResultExecutingContext filterContext)
        {
            timer = Stopwatch.StartNew();
        }

        public override void OnResultExecuted(ResultExecutedContext filterContext)
        {
            timer.Stop();
            filterContext.HttpContext.Response.Write(string.Format("Action result elapsed time: {0}", timer.Elapsed.TotalSeconds));
        }
    }

它可以同时输出action方法和action result消耗的时间。

     5 Controller 和 filter

     实际上controller类同时实现了4类filter：

public abstract class Controller : ControllerBase, IActionFilter, IAuthorizationFilter, IDisposable, IExceptionFilter, IResultFilter

所以，你可以在自己的controller里，重写上述多个方法，而不用再另外添加filter。

      6. 注册全局filter：

      如在RegisterGlobalFilters中加入：

            filters.Add(new ProfileAllAttribute());
            filters.Add(new HandleErrorAttribute()
            {
                ExceptionType = typeof(NullReferenceException),
                View = "SpecialError"
            });

即可。

     7. filter排序执行：

     自定义一个filter，来试探它们的执行顺序：

    [AttributeUsage(AttributeTargets.Method | AttributeTargets.Class, AllowMultiple = true)]
    public class SimpleMessageAttribute : FilterAttribute, IActionFilter
    {
        public string Message { get; set; }
        public void OnActionExecuting(ActionExecutingContext filterContext)
        {
            filterContext.HttpContext.Response.Write(
            string.Format("[Before Action: {0}]", Message));
        }

        public void OnActionExecuted(ActionExecutedContext filterContext)
        {
            filterContext.HttpContext.Response.Write(
            string.Format("[After Action: {0}]", Message));
        }
    } 

测试如下：

    public class SimpleController : Controller
    {
        //[SimpleMessage(Message = "A")]
        //[SimpleMessage(Message = "B")]
        [SimpleMessage(Message = "A", Order = 2)]
        [SimpleMessage(Message = "B", Order = 1)]
        public ActionResult Index()
        {
            return View();
        }
    }

启用备注时，注释后两行时，输出为：

before A -> Before B -> after B -> after A，但是MVC不保证每次都是这样的（A和B的执行顺序不能保证）。为了确保顺序额，如上文代码，指定Order顺序，这个时候铁定是：Before B -> Before A -> after A -> after B。 

      如果你在多个地方指定不同filter的order，它会优先global中的，然后是controller的，最后才是action的。

      mvc还有其他一些内置的filter，如OutputCache等，这里不再描述。

源码download