小白之AuthorizeAttribute权限控制（一）

web网站一般都需要做访问权限控制，把项目中使用的方式记录一下，也是第一次使用，作为知识积累吧。

项目是基于.NET的EF+MVC 框架，权限控制在Filters中去处理，该文件夹与Controller同级。

大致的流程：
当web请求访问某个被Attribute标记的controller或action时，就会先进入Filters中权限处理层，根据是否处理结果决定是或否有权限访问。一般没有权限时，会重定向到提示没有权限的页面或者登录页面。

现在 先自定义一个FunctionAttribute,继承 Attribute, 用于贴上需要做授权控制的方法上

   public class FunctionAttribute:Attribute
    {
        public FunctionAttribute()
        {
        }
        public FunctionAttribute(string name)
        {
            this.Name = name;
        }
        public string Module { get; set; }

        public string Code { get; set; }

        public string Name { get; set; }

        public string Message { get; set; }
    }

然后再定义一个 SystemAuthorizeAttribute，继承 AuthorizeAttribute，并重写里面需要用到的方法

  public class SystemAuthorizeAttribute : AuthorizeAttribute
    {
        public override void OnAuthorization(AuthorizationContext filterContext)
        {
           {
                if (!filterContext.HttpContext.User.Identity.IsAuthenticated)
                {
                    var loginUrl = "/Portal/account/login";
                    filterContext.Result = new RedirectResult(loginUrl);
                }
            }
        }

        protected override void HandleUnauthorizedRequest(AuthorizationContext filterContext)
        {
            base.HandleUnauthorizedRequest(filterContext);
        }

        protected override bool AuthorizeCore(HttpContextBase httpContext)
        {
            return base.AuthorizeCore(httpContext);
        }
    }

权限控制的逻辑代码在OnAuthorization 方法中处理，如果验证不通过，则重定向到指定的页面。

ok,还差最后一步，我们把特性贴在需要用的地方：

     [Function(Module = "客户")]
        [SystemAuthorize]
        public ActionResult Index()
        {
            return View();
        }

在方法上面加的[SystemAuthorize]，当被访问时，会先进入SystemAuthorizeAttribute 的 OnAuthorization方法，该方法没有方法值，如果不被重定向到其他页面，也就意味着没有被拦截，就会继续访问Index 方法，然后客户端就看到Home页面啦。

涉及到的知识点还有更多，后面再陆续更新关于权限控制的内容