关于MVC的特性(AuthorizeAttribute)的一些理解

许多 Web 应用程序要求在用户登录之后才授予其对受限制内容的访问权限。

在某些应用程序中，即使是登录的用户，也会限制他们可以查看的内容或可以编辑的字段。

要限制对 ASP.NET MVC 视图的访问，您可以限制对呈现视图的操作方法的访问。

为此，MVC 框架提供 AuthorizeAttribute 类。

MVC的一些特性，如下：

BindAttribute（限制实体属性）

RemoteAttribute（远程验证，需要页面使用jquery.validate.js和jquery.validate.unobtrusive.js）

HandleErrorAttribute（根据异常类型直接跳转到相应的错误页面）

HiddenInputAttribute（在Model中直接控制页面输入框显示，用处不大）

BindAttribute

使用BindAttribute的目的是限制用户在提交form表单时使用合适且正确的值。当我们提交一个表单时，就会检查每一个实体上绑定的特性。

假设我们已经有下面一个Employee实体类：

public class Employee
{
public string Name { get; set; }
public string Email { get; set; }
public string Address { get; set; }
public string PhoneNo { get; set; }
}

建立一个EmployeeController，里面添加两个Action:

[HttpGet]
public ActionResult EmployeeRegister()
{
return View();
}
[HttpPost]
public ActionResult EmployeeRegister(Employee emp)
{
return View();
}

给第一个Action建立视图，并且发送post表单数据过来。

这样在第二个Action中，就会接收到参数，自动转成Employee类，包含4个属性

现在如果我们只想提交Email，Name和PhoneNo，而我们不想提交Address，这时我们可以在实体类上添加如下特性：

[Bind(Exclude="Address")]
public class Employee
{
public string Name { get; set; }
public string Email { get; set; }
public string Address { get; set; }
public string PhoneNo { get; set; }
}

此时其他三个属性正常，Address变成了null.

我们也可以将BindAttribute直接用在Action的参数中，像下面这样：

[HttpPost]
public ActionResult EmployeeRegister([Bind(Exclude = "Address")]Employee emp)
{
return View();
}

注意：BindAttribute位于System.Web.Mvc命名空间下

Remote Attribute

假设我们有一个注册表单，里面有邮箱文本框，当输入邮箱后，我们想检查输入的邮箱是否在数据库中已经存在，如果存在，则不提交表单，这时我们可以使用RemoteAttribute，通过RemoteAttribute，我们可以在进入Action前自动先进行一些服务端验证。

我们可以在下面的例子中使用RemoteAttribute：

public class Employee
{
public string Name { get; set; }
[Remote("CheckEmail","Employee",ErrorMessage="Email is already exist")]
public string Email { get; set; }
public string Address { get; set; }
public string PhoneNo { get; set; }
}

RemoteAttribute的第一个参数是一个Action名字，第二个是Controller名字，第三个是如果邮箱已存在后显示给用户看的提示信息。当我们输入完邮箱后，CheckEmail方法将被执行并检查邮箱是否存在。

public JsonResult CheckEmail(string Email)
{
//Check here in database if it exist in database return true else false.
return Json(false, JsonRequestBehavior.AllowGet);
}

此时页面上邮箱的输入框一旦发生onchange，就会自动发送异步请求到CheckEmail方法，页面可以使用如下代码：

@Html.ValidationMessageFor(model => model.Email, "", new { @class = "text-danger" })

来配合处理

个人认为，该特性基本没什么用

HandleError Attribute

我们已经有很多方法在MVC中处理异常，比如用try catch，或者使用Filter，或者通过第三方库比如elmah。但是MVC也提供了一个HandleErrorAttribute去处理异常，如下：

[HandleError()]
public ActionResult CheckError()
{
int a = 10;
int b = 0;
int k = a / b;
return View();
}

在web.config文件中，我们在<system.web>中添加如下两行：

<customErrors mode ="On" defaultRedirect ="Error.cshtml">
</customErrors>

在shared文件夹下创建一个视图Error.cshtml，然后运行程序，如果运行上面的CheckError()方法，刚创建的Error.cshtml将会显示出来。

还可以根据异常类型的不同跳转到不同的错误界面。

[HandleError(ExceptionType=typeof(DivideByZeroException),View="尝试除以0的View")]
[HandleError(ExceptionType = typeof(NullReferenceException), View = "引用null对象的View")]
public ActionResult CheckError()
{
int a = 10;
int b = 0;
int k = a / b;
return View();
}

可以重写该特性进行错误日志记录！调用方式有两种：1、global全局注册，2、加在控制器或Action上

使用 handleError attribute 有以下局限：

1. 不支持exception记录
2. 无法捕捉到500之外的http exception
3. controller之外抛出的异常无法处理
4. ajax调用出现exception时，会将错误页面内容返回

HiddenInput Attribute

如果我们想对用户隐藏一些实体字段，我们可以使用HiddenInput特性。

public class Employee
{
[HiddenInput(DisplayValue=false)]
public string Name { get; set; }
[Remote("CheckEmail","Employee",ErrorMessage="Email is already exist")]
public string Email { get; set; }
public string Address { get; set; }
public string PhoneNo { get; set; }
}

这样页面上Name的输入框将不会出现，必须使用如下代码才可实现控制效果：

@Html.EditorFor(model => model.Name, new {})

强类型控制，Name和页面头部引用@model xxx.Models.Employee必须保持一致

个人认为，用处不大