我已经读过要[Authorize]在MVC 上使用该属性,你只需将它放在一个动作或你要保护的控制器类上.
我的问题是:该Authorize属性如何知道用户是否已登录?我是否必须提供任何Session对象才能Authorize知道用户是否获得授权?
isN*_*247 15
此属性通过查看来工作HttpContext.User.Identity.IsAuthenticated.
如果您使用的是FormsAuthentication,如果用户的计算机上有一个有效的FormsAuthentication cookie(您可以使用它添加FormsAuthentication.SetAuthCookie),则会将其设置为true .
如果您对内部工作感兴趣Authorize,可以使用已发布的Microsoft源代码:
protected virtual bool AuthorizeCore(HttpContextBase httpContext) {
if (httpContext == null) {
throw new ArgumentNullException("httpContext");
}
IPrincipal user = httpContext.User;
if (!user.Identity.IsAuthenticated) {
return false;
}
if (_usersSplit.Length > 0 && !_usersSplit.Contains(user.Identity.Name, StringComparer.OrdinalIgnoreCase)) {
return false;
}
if (_rolesSplit.Length > 0 && !_rolesSplit.Any(user.IsInRole)) {
return false;
}
return true;
}
以下是有关FormsAuthentication的更多信息.
| 归档时间: |
|
| 查看次数: |
12275 次 |
| 最近记录: |