一张图看懂ASP.NET MVC5认证和授权过滤器的执行顺序

一张图看懂ASP.NET MVC5认证和授权过滤器的执行顺序

 IAuthenticationFilter是MVC5中的新特性，它有2个关键方法：

• OnAuthentication
• OnAuthenticationChallenge

    当IAuthenticationFilter和IAuthorizationFilter结合使用时，流程看似比较复杂：

1. 根据路由选择Controller和Action
2. 如果设置了IAuthenticationFilter，则会调用OnAuthentication方法
   • 在OnAuthentication中如果设置了context的Result，则会直接跳转到OnAuthenticationChallenge方法。
   • 如果OnAuthentication中没有设置context的Result，则交由IAuthorizationFilter处理（如果没有定义IAuthorizationFilter，则进入Action方法）。
3. 如果设置了IAuthorizationFilter，则执行授权逻辑调用OnAuthorization方法
   • 在OnAuthorization中如果设置了context的Result，则会直接跳转到IAuthenticationFilter的OnAuthenticationChallenge方法。
   • 如果OnAuthorization中没有设置对应context的Result，则进入Action方法。
4. IAuthenticationFilter的OnAuthenticationChallenge方法始终会在ActionResult的ExecuteResult执行之前运行。