目录第 1 天第 2 天第 3 天第 4 天第 5 天第 6 天第 7 天0. 前言欢迎来到第五天的学习。希望第一天到第四天的学习,你都是开心的。1. Lab 22 — 增加 Footer在这个实验中,我们将会向 Employee 页面添加 Footer。本次 ...
目录
- 第 1 天
- 第 2 天
- 第 3 天
- 第 4 天
- 第 5 天
- 第 6 天
- 第 7 天
0. 前言
欢迎来到第五天的学习。希望第一天到第四天的学习,你都是开心的。
在这个实验中,我们将会向 Employee 页面添加 Footer。本次实验的目标是理解分部视图(Partial Views)。
什么是「Partial Views」?
逻辑上讲,分部视图(Partial Views) 是一个可重用的视图,它不会被直接显示。它会被其它视图所包含,然后作为该视图的一部分来显示。它类似于 get='_blank'>ASP.NET Web Forms 中的用户控件,但是没有后台代码。
第一步:为 Partial View 创建 ViewModel
右击 ViewModel 文件夹,然后创建一个类,命名为 FooterViewModel。
public class FooterViewModel { public string CompanyName { get; set; } public string Year { get; set; }}
第二步:创建 Partial View
右击「~/Views/Shared」文件夹,选择 Add -> View。
设置视图的名称为 Footer。选中「Create as a partial view」复选框,然后点击「Add」。
注意:我们已经在第一天的学习中谈论了 Shared 文件夹。Shared 文件夹包含了视图,这些视图不会属于一个特定的控制器。在 Shared 文件夹下的视图适用于所有控制器。
第三步:在 Partial View 中显示数据
打开 Footer.cshtml,然后放置如下代码。
@using WebApplication1.ViewModels@model FooterViewModel<div >@Model.CompanyName © @Model.Year</div>
第四步:在 Main ViewModel 中包含 Footer 数据
打开 EmployeeListViewModel 类,然后增加一个新的属性来承载 Footer 数据。
public class EmployeeListViewModel { public List<EmployeeViewModel> Employees { get; set; } public string UserName { get; set; } public FooterViewModel FooterData { get; set; }//New Property}
在我们的例子中,Footer 视图将会作为 Index 视图的一部分展示。
我们将会在 Index 视图中向 Footer 传输必要数据。
Index 视图是一个 EmployeeListViewModel 的强类型视图,因此 Footer 中需要的数据都应该被封装在 EmployeeListViewModel 类中。
第五步:设置 Footer 数据
打开 EmployeeController,然后在 Index 行为方法中设定 FooterData 属性值。
public ActionResult Index() { ... ... employeeListViewModel.FooterData = new FooterViewModel(); employeeListViewModel.FooterData.CompanyName = "StepByStepSchools";//Can be set to dynamic value employeeListViewModel.FooterData.Year = DateTime.Now.Year.ToString(); return View("Index", employeeListViewModel);}
第六步:展示 Footer
打开 Index.cshtml 文件,然后在 Table 标签后展示 Footer 视图。
</table> @{ Html.RenderPartial("Footer", Model.FooterData); } </div></body> </html>
第七步:执行并测试
按下 F5。导航到 Index 视图。
Lab 22 的 Q&A
Html.Partial 是用来做什么的?
它类似于 Html.RenderPartial,Html.Partial 用于在视图中展示 Partial View。
它的语法如下。非常简单。
@Html.Partial("Footer", Model.FooterData);
两者的区别是什么?
Html.RenderPartial 将会把 Partial View 的结果写入 HTTP 响应流中,而 Html.Partial 将会以 MvcHtmlString 的格式返回结果。
什么是 MvcHtmlString,为什么 Html.Partial 返回的是 MvcHtmlString,而不是字符串?
首先让我们理解下什么是 MvcHtmlString。
MSDN 的定义是「MvcHtmlString 代表一个 HTML 编码的字符串,这种字符串不应该再次编码」。
更好地理解这个定义,请查看下面代码。
@{ string MyString = "My Simple String";}@MyString
它将会产生如下输出。
正如你所看见的,Razor 展示了所有的内容。可能许多人会以为将输出加粗的字符串,但是 Razor Html 在展示之前对内容进行了编码,这就是为什么我们获得的是纯内容,而不是加粗的字符串。
当我们不想用 Razor 编码时,我们可以使用 MvcHtmlString。MvcHtmlString 是 Razor 的一种表示,即「字符串已经编码了,不再需要额外编码」。
例如我们可以看下面的代码。
@{ string MyString = "My Simple String";}@MvcHtmlString.Create(MyString)
它将会产生如下输出。
为什么 Html.Partial 返回的是 MvcHtmlString,而不是字符串呢?
我们已经理解了「Razor 将会编码字符串,但是不会对 MvcHtmlString 编码」这一事实。如果 Partial View 内容被认为是像它展示的那样的纯字符串,便没有意义。我们希望它被当成是一个 HTML 内容,这样我们就需要停止 Razor 编码,因此 Partial 方法被设计为返回 MvcHtmlString。
哪个更加推崇,Html.RenderPartial 还是 Html.Partial ?
Html.RenderPartial 更被推崇,因为它更快。
什么时候运用 Html.Partial 更好?
当我们想在展示之前改变 Partial View 返回的结果,推荐使用 Html.Partial。
打开 Index.cshtml,然后打开 Footer,放置如下代码。
@{ MvcHtmlString result = Html.Partial ("Footer", Model.FooterData); string finalResult = result.ToHtmlString().Replace("2015", "20000"); }@MvcHtmlString.Create(finalResult)
现在页脚展示如下。
为什么将 Partial View 放置在 Shared 文件夹下?
因为 Partial View 意味着可以重复利用的资源,因此放置它们的地点是 Shared 文件夹下。
我们不能将 Partial View 放置到一个特殊的控制器文件夹内吗?例如 Employee 或者 Authentication?
我们可以这样做,但是在这种场景下,它将不会适用于指定控制器。
例如:当我们将 Partial View 放置到 Employee 文件夹下,它将不会适用于 AuthenticationController 或者适用于 AuthenticationController 相关的视图。
为什么 Partial View 的定义包含「逻辑」词汇?
在定义中,我们已经知道 Partial View 是一个可重用的视图,但是它不能通过自己执行。它需要放置到其它视图中,然后作为这些视图的一部分来展示。
我们所说的 Partial View 可重用是事实,但是我们提到的执行在逻辑上是事实。技术上而言,这不是一个正确的解释。我们可以创建一个行为方法,来返回如下的视图结果。
public ActionResult MyFooter() { FooterViewModel FooterData = new FooterViewModel(); FooterData.CompanyName = "StepByStepSchools";//Can be set to dynamic value FooterData.Year = DateTime.Now.Year.ToString(); return View("Footer", FooterData);}
它将会展示如下的输出。
尽管在逻辑上没有意义,但是技术上是可行的。Footer.cshtml 不会包含正确的结构性 HTML。它意味着作为视图的一部分来展示。因为我们说「逻辑上是没有意义的」。
为什么要创建 Partial View,而不是直接在视图底部添加内容?
这样做有两个优势。
可重用性。我们可以将一个 Partial View 运用到多个视图中去。
代码保留。将其放置为一个分割的文件,使其管理和操纵都非常方便。
为什么在 Partial View 中没有创建 Header?
作为最佳实践,我们需要为 Partial View 创建 Header,但是为了保持最初实验简单化,我们并没有这样做。
2. Lab 23 — 实现基于角色的安全性
在本次实验中,我们将会实现 Admin 和 Non-Admin 两种登录功能。
需求是很简单的。即「Non-Admin 用户不能创建 Employees」。
通过这个实验,我们将会理解 MVC 中的两个主题。
现在我们开始进行实验。为了简单化,我们将实验分为两部分。
Part 1 — Non-Admin 用户登录,隐藏 AddNew 链接
第一步:创建标识 UserStatus 的枚举
右击 Models 文件夹,选择「Add New Item」。
在对话框中选择「Code File」选项。
在名称栏中输入「UserStatus」,然后点击添加。「Code File」的选项将会创建一个空白的「.cs」文件。
创建一个枚举,命名为 UserStatus,代码如下。
namespace WebApplication1.Models { public enum UserStatus { AuthenticatedAdmin, AuthentucatedUser, NonAuthenticatedUser }}
第二步:更改业务层功能
删除 IsValidUser 功能,然后创建一个新的功能,命名为 GetUserValidity。
public UserStatus GetUserValidity(UserDetails u) { if (u.UserName == "Admin" && u.Password == "Admin") { return UserStatus.AuthenticatedAdmin; } else if (u.UserName == "Sukesh" && u.Password == "Sukesh") { return UserStatus.AuthentucatedUser; } else { return UserStatus.NonAuthenticatedUser; }}
第三步:更改 DoLogin 行为方法
打开 AuthenticationController,然后更改 DoLogin 行为方法如下。
[HttpPost]public ActionResult DoLogin(UserDetails u) { if (ModelState.IsValid) { EmployeeBusinessLayer bal = new EmployeeBusinessLayer(); //New Code Start UserStatus status = bal.GetUserValidity(u); bool IsAdmin = false; if (status==UserStatus.AuthenticatedAdmin) { IsAdmin = true; } else if (status == UserStatus.AuthentucatedUser) { IsAdmin = false; } else { ModelState.AddModelError("CredentialError", "Invalid Username or Password"); return View("Login"); } FormsAuthentication.SetAuthCookie(u.UserName, false); Session["IsAdmin"] = IsAdmin; return RedirectToAction("Index", "Employee"); //New Code End } else { return View("Login"); }}
正如你所看见的,我们运用 Session 变量来识别用户是 Admin 用户还是 non-Admin 用户。
不知道什么是 Session?
Session 是 ASP.NET 的一个功能,在 ASP.NET MVC 中被重用。
我们运用 Session 变量来承载用户相关的数据。Session 的生命周期取决于用户的生命周期。它将一直可用直到当前的 Session 结束。
第四步:删除已经存在的 AddNew 链接
在「~/Views/Employee」文件夹下打开 Index.cshtml 视图,然后完全删除「Add New」超链接。
<!-- Remove following line from Index.cshtml --><a href="http://www.cnblogs.com//Employee/AddNew">Add New</a>
第五步:创建 Partial View
右击「~/Views/Employee」文件夹,然后选择 Add -> View。设置视图的名称为「AddNewLink」,然后确保选择「Create as a partial view」复选框。
第六步:在 Partial View 中放置内容
在刚创建的 Partial View 中放置如下内容。
<a href="http://www.cnblogs.com//Employee/AddNew">Add New</a>
第七步:创建行为方法
打开 EmployeeController 然后创建一个新的行为方法,命名为「GetAddNewLink」。
public ActionResult GetAddNewLink() { if (Convert.ToBoolean(Session["IsAdmin"])) { return Partial View("AddNewLink"); } else { return new EmptyResult(); }}
第八步:展示 AddNew 链接
打开 Index.html,然后放置如下代码。
<a href="http://www.cnblogs.com//Authentication/Logout">Logout</a> </div> <hr /> @{ Html.RenderAction("GetAddNewLink");}<div> <table border="1"> <tr>
Html.RenderAction 执行行为方法,然后向响应流中直接写入结果。
第九步:执行并测试
按下 F5,然后执行应用。
Part 2 — 直接的 URL 安全性
按照上述的逻辑,一件事是可以确保的。即现在 non-Admin 用户不能通过超链接导航到 AddNew 行为。
这样就够了吗?
答案是否定的,这还不够。如果一个 non-Admin 用户直接通过 URL 试图导航到 AddNew 行为会发生什么呢。
正如你在上述例子中所看见的,一个 non-Admin 用户依然可以访问 AddNew 行为。
为了解决这个问题,我们需要运用 MVC 中的 Action Filters。Action Filters 让我们向行为方法中添加一些预处理和后处理的逻辑。在本实验中,我们将着重于 Action Filters 的预处理功能,在后面的实验中,我们再着重于后处理功能。
第一步:设置过滤器
在项目下创建一个新的文件夹,命名为 Filters,然后创建一个新的类,命名为 AdminFilter。
第二步:创建过滤器
升级简单的 AdminFilter 类到 ActionFilter,通过将其继承 ActionFilterAttribute 类,代码如下。
public class AdminFilter:ActionFilterAttribute {}
注:为了运用 ActionFilterAttribute,你需要在顶部引用 System.Web.Mvc。
第三步:增加安全认证逻辑
在 ActionFilter 中重写 OnActionExecuting 方法。
public override void OnActionExecuting(ActionExecutingContext filterContext) { if (!Convert.ToBoolean(filterContext.HttpContext.Session["IsAdmin"])) { filterContext.Result = new ContentResult() { Content="Unauthorized to access specified resource." }; }}
第四步:附加过滤器
向 AddNew 和 SaveEmployee 行为方法添加过滤器。
[AdminFilter]public ActionResult AddNew() { return View("CreateEmployee",new Employee());}......[AdminFilter]public ActionResult SaveEmployee(Employee e, string BtnSubmit) { switch (BtnSubmit) { case "Save Employee": if (ModelState.IsValid) { EmployeeBusinessLayer empBal = new EmployeeBusinessLayer();........
第五步:执行和测试
按下 F5,然后执行应用。运用 non-Admin 身份登录,然后试图通过 AddNew 行为的 URL 导航到 AddNew 行为方法。
正如你所看见的,现在你的行为方法处于完全安全状态。
Lab 23 的 Q&A
我们可以通过地址栏直接触发 GetAddNewLink 吗?
答案是肯定的,我们已经在「Talk on Lab 22」部分讨论了这个行为。
直接停止执行 GetAddNewLink 有可能吗?
可以直接在 GetAddNewLink 中添加 ChildActionOnly 属性。
[ChildActionOnly]public ActionResult GetAddNewLink() { if (Convert.ToBoolean(Session["IsAdmin"])){
Html.Action 是用来做什么的?
就类似于 Html.RenderAction,Html.Action 将会执行行为方法用于呈现视图的结果。下面是语法。
@Html.Action("GetAddNewLink");
可以看出,语法相对来说简单多了。
两者的区别是什么?
Html.RenderAction 将会把行为方法的执行结果直接写入 HTTP 响应流,而 Html.Action 将会返回 MvcHtmlString 结果。
哪个更推崇?是 Html.RenderAction 还是 Html.Action?
更推崇 Html.RenderAction,因为它更快。
什么时候用 Html.Action 更好?
当我们想在呈现之前改变行为方法执行的结果时,用 Html.Action 更好。
什么是 ActionFilter?
就类似于 AuthenticationFilter,ActionFilter 是 ASP.NET MVC 的一种过滤器类型。它允许我们向行为方法添加预处理和后处理逻辑。
3. Lab 24 — 任务实验 — 处理 CSRF 攻击
从视图的安全性方面出发,我们还需要在项目中处理 CSRF 攻击。这里我将不再做过多指导,你需要自己手动完成。
我建议你阅读下述文章,然后实现方法。
如何在 MVC 中防止 CSRF 攻击
4. Lab 25 — 实现项目的一致性外观
在 ASP.NET 领域中,一致性的布局意味着母版页(MasterPage)。
但 ASP.NET MVC 是区别于此的。在 Razor 中,母版页被称为布局页(Layout Pages)。
在正式开始试验之前,我们先来讨论一下在母版页中我们需要放置哪些元素。
1.带有欢迎信息的 Header。
海外公司注册、海外银行开户、跨境平台代入驻、VAT、EPR等知识和在线办理:https://www.xlkjsw.com
原标题:7 天玩转 ASP.NET MVC — 第 5 天
关键词:ASP.NET
*特别声明:以上内容来自于网络收集,著作权属原作者所有,如有侵权,请联系我们:
admin#shaoqun.com
(#换成@)。