上一篇文章介紹了使用Authorize特性實現了ASP.NET MVC中針對Controller或者Action的授權功能，實際上這個特性是MVC功能的一部分，被稱為過濾器(Filter)，它是一種面向切面程式設計(AOP)的實現，本章將從以下幾個方面來介紹ASP.NET MVC中的過濾器。

　　● ASP.NET MVC 中的過濾器及其型別
　　● ASP.NET MVC 中常用的過濾器
　　● ASP.NET MVC 過濾器的應用方法
　　● ASP.NET MVC Action方法的呼叫與Filter的執行
　　● ASP.NET MVC 過濾器的建立與獲取
　　● ASP.NET MVC Action及Result過濾器的管道執行

ASP.NET MVC中的過濾器及其型別

　　在之前的Entity Framework文章中介紹了EF自帶的攔截器(interceptors)功能，ASP.NET MVC中的過濾器也和攔截器一樣是一種面向切面(AOP)的程式設計方式，是一種不修改原始碼的前提下對應用程式進行拓展的程式設計方式。一般AOP用來處理日誌記錄、效能統計、安全控制、事務處理、異常處理等不會對原有業務資料進行修改的功能。
　　ASP.NET MVC中把過濾器分為以下幾類，每一類都是通過一個對應的介面定義的：
　　● 身份驗證過濾器（IAuthenticationFilter）：這個過濾器是在MVC5中加入的，它是所有過濾器中優先順序最高的，使用身份驗證過濾器可以為Action、Controller或者所有的Controller新增身份驗證邏輯。身份驗證過濾器的核心在於根據請求資訊建立一個Principal物件

　　其中身份驗證上下文有一個IPrincipal的屬性：

　　● 授權過濾器（IAuthorizationFilter）：授權過濾器用來處理Controller以及Action的訪問限制。
　　● Action方法過濾器（IActionFilter）：Action過濾器可用於在Action方法執行前和執行後新增邏輯。
　　● 結果過濾器（IResultFilter）：結果過濾器可以在結果執行前和執行後新增邏輯。(注：ASP.NET MVC中的Action返回結果為ActionResult型別，該抽象型別定義了一個執行方法ExecuteResult，結果的執行實際上是對返回結果的處理)

　　比如FileResult的執行實際上是在Http響應頭中添加了適當的引數然後將檔案的二進位制資料寫到了響應體中，相當於檔案的下載功能。

　　更多結果執行內容會在後續文章中介紹。

　　● 異常過濾器（IExceptionFilter）：異常過濾器就是Action方法在執行的過程中丟擲異常時，用來新增異常處理邏輯的過濾器。

ASP.NET MVC 中常用的過濾器

　　上面介紹了過濾器的類別，現在介紹一下每一個類別下常用的過濾器有哪些：
　　● 身份驗證過濾器（IAuthenticationFilter）：由於身份驗證過程可以使用Identity等成熟元件來完成，所以身份驗證過濾器暫時沒有找到適合的可以用的過濾器。如果系統有需求可自定義。
　　● 授權過濾器（IAuthorizationFilter）：
　　　　○ Authorize：基於使用者名稱、角色的使用者授權。
　　　　○ RequireHttps：基於Https的訪問授權。
　　　　○ ValidateInput：ASP.NET MVC在執行前會驗證請求資訊中是否包含HTML等不合法資訊以避免XSS攻擊，但是有的時候需求就是要提交HTML資料，在提交這些資料時可以使用該過濾器將EnableValidation設為false，MVC將跳過資料驗證。
　　　　○ ValidateAntiForgeryToken：該過濾器可以對HtmlHelper的AntiForgeryToken方法生成防偽令牌進行校驗，以避免CSRF跨站偽造攻擊。
　　● Action過濾器（IActionFilter）：一般根據需求自定義實現。
　　● 異常過濾器（IExceptionFilter）：
　　　　○ HandleError：用於處理Action方法丟擲的異常(預設的MVC模板會新增一個全域性HandleError過濾器)。

　　另外還需要注意的是ASP.NET MVC中的Controller實際上也是一個過濾器，因為Controller基類實現了所有過濾器介面：

　　所以如果某一Controller中有特殊的處理需求，無需定義過濾器，在Controller中實現過載對應過濾器的方法即可：

ASP.NET MVC 過濾器的應用方法　

　　ASP.NET MVC中的過濾器可以通過以下幾種方法使用：
　　1. 通過特性的方式在Controller以及Action上標記使用，但是要注意的是以特性方式使用的過濾器除了實現對應的過濾器介面外還需要將其封裝為一個.Net特性並實現IMvcFilter介面，最為方便的是直接繼承FilterAttribute型別實現，如：

　　2. 通過全域性過濾器表新增過濾器，這樣新增的過濾器會對所有Controller的Action方法生效。

　　3. 在Controller型別中通過過載對應過濾器方法的方式實現，上面說明了Controller本身就是一個實現了所有過濾器的型別。

ASP.NET MVC Action方法的呼叫與Filter的執行

　　過濾器是在Action方法執行的過程中呼叫執行的，所以首先要了解Action的執行過程，在之前的文章中介紹了Controller的建立與執行《ASP.NET沒有魔法——ASP.NET MVC Controller的例項化與執行》，而這裡就基於該文章，來對Action的執行過程進行介紹，Controller的執行是通過Controller型別的ExecuteCore方法完成的：

　　而從程式碼中也可以看到Controller的執行實際上是通過ActionInvoker根據Action的名稱來呼叫Action方法的執行，在ASP.NET MVC中預設使用一個名為 AsyncControllerActionInvoker的非同步Action呼叫器：

　　它除了非同步功能外還繼承了同步的ControllerActionInvoker型別，非同步主要是為了提高請求處理的吞吐量，這裡將使用同步版本的程式碼進行Action與Filter執行介紹。

　　ControllerActionInvoker：

　　從程式碼定義中可以看出以下幾點：
　　1. 它的核心方法是InvokeAction，它處理了所有的過濾器、Action方法的呼叫處理邏輯。
　　2. GetFilters方法，它用於獲取所有相關的過濾器。
　　3. InvokeActionMethodWithFilters、InvokActionResultWitherFilters、InvokeAuthenticationFilters、InvokeAuthenticationFiltersChallenge、InvokeAuthorizationFilters、InvokeExceptionFilters等相關方法就是用來呼叫對應型別的過濾器執行的方法。
　　這裡通過原始碼分析的方式來介紹過濾器在ActionInvoker的執行過程：

　　通過對上面程式碼的分析得出以下幾個結論：
　　1. 通過Controller上下文及Action的資訊找到真實的Action方法後，獲取所有過濾器。
　　2. 先執行身份驗證過濾器。
　　3. 通過身份驗證過濾器後執行授權過濾器。
　　4. 授權過濾器通過後，執行Action過濾器及Action方法。
　　5. 執行Result過濾器及Result。

ASP.NET MVC 過濾器的建立與獲取

　　根據上面的介紹知道了可以通過全域性過濾器、特性標記以及過載Controller過濾器方法這三種方式來應用過濾器的，那麼在執行過程中是如何通過ActionInvoker的GetFilters方法建立和獲取它們的呢？
　　● 過濾器提供器(FilterProvider)：ASP.NET MVC中有一個過濾器提供器的概念和實際物件，它有三種實現分別對應上述的三種應用方式：
　　　　○ GlobalFilterCollection：用於儲存全域性過濾器例項，可以直接通過它新增和獲取過濾器例項，通過它建立的過濾器的Scope為Gobal，建立時可以通過Order引數來決定全域性過濾器的執行順序：

　　　　○ FilterAttributeFilterProvider：過濾器特性提供器，通過查詢Controller以及Action上的特性來建立過濾器，根據特性標記位置將Scope分為Controller以及Action，在應用特性時可以設定特性的Order屬性來決定過濾器的執行順序：

　　　　○ ControllerInstanceFilterProvider：控制器例項過濾器提供器，它用於獲取當前Controller例項的過濾器，並且過濾器的Scope為First：

　　● 過濾器提供器集合(FilterProviderCollection)：它包含了上述的所有過濾器提供器，ActionInvoker就是通過它來獲取所有相關過濾器的：

　　FitlerProviderCollection獲取過濾器時通過以上三種提供器獲取所有相關的過濾器並根據Scope以及Order對過濾器進行排序，以決定過濾器執行順序。

ASP.NET MVC Action及Result過濾器的管道執行

　　在Action和Result過濾器的定義中都有兩個方法，分別是OnXXXExecuting以及OnXXXExecuted，它們對應Action或者Reuslt執行前和執行後。當一個Action上存在多個Action或者Result過濾器時就會形成一個過濾器管道，其執行方式如下圖所示：

小結

　　本文除了介紹ASP.NET MVC的過濾器功能及常用的過濾器外，還通過程式碼的形式分析了它建立與執行的過程。在一般的專案中使用ASP.NET MVC自帶的過濾器就可以滿足需求，如授權、錯誤處理等，但過濾器作為ASP.NET MVC中的一種重要的AOP拓展方式，合理的運用過濾器可以實現，如日誌記錄、效能分析、Action的事務執行（http://blog.gauffin.org/2012/06/how-to-handle-transactions-in-asp-net-mvc3/，這篇文章就利用Action過濾器實現了資料庫的事務）等等功能，並且可以靈活的在不影響原有程式碼邏輯的情況下對系統進行拓展。