AuthorizationFilter：授权过滤器，用于执行访问控制决策。

1.1 定义与作用：
1.1.1 定义：AuthorizationFilter是ASP.NET MVC中用于安全性检查的过滤器，它通过实现IAuthorizationFilter接口来定义。该接口提供了一个OnAuthorization方法，用于在用户请求到达Action方法之前执行授权逻辑。
1.1.2 作用：AuthorizationFilter的主要作用是检查用户是否有权限访问请求的资源。如果用户未通过授权，则过滤器可以中断请求的执行流程，并返回相应的错误响应（如HTTP 401 Unauthorized或HTTP 403 Forbidden）。
1.2 实现方式：
1.2.1 接口实现：AuthorizationFilter通过实现IAuthorizationFilter接口来工作。该接口定义了一个OnAuthorization方法，该方法接收一个AuthorizationContext对象作为参数，该对象包含了当前请求的上下文信息，如ControllerContext、ActionDescriptor等。
1.2.2 AuthorizeAttribute：AuthorizeAttribute是ASP.NET MVC中提供的一个内置授权过滤器，它实现了IAuthorizationFilter接口。AuthorizeAttribute可以应用于整个控制器或单独的Action方法上，以限制对它们的访问。通过设置AuthorizeAttribute的Users和Roles属性，可以指定哪些用户或角色可以访问受保护的资源。
1.2.3 自定义AuthorizationFilter：除了使用内置的AuthorizeAttribute外，开发人员还可以自定义AuthorizationFilter。自定义AuthorizationFilter需要继承自AuthorizeAttribute类（或直接实现IAuthorizationFilter接口），并重写OnAuthorization方法以实现自定义的授权逻辑。
1.3 执行流程：
1.3.1 请求到达：当用户发送一个请求到ASP.NET MVC应用程序时，请求首先会被路由到相应的控制器和Action方法。
1.3.2 执行AuthorizationFilter：在Action方法执行之前，ASP.NET MVC框架会先执行所有应用于该控制器或Action方法的AuthorizationFilter。这些过滤器会按照定义的顺序（通过Order属性指定）依次执行。
1.3.3 授权检查：在OnAuthorization方法中，AuthorizationFilter会检查当前用户是否有权限访问请求的资源。这通常涉及检查用户的身份验证状态、角色、权限等信息。
1.3.4 决定访问权限：根据授权检查的结果，AuthorizationFilter会决定是否允许用户访问资源。如果用户未通过授权，过滤器可以设置AuthorizationContext对象的Result属性为一个表示拒绝访问的ActionResult对象（如HttpUnauthorizedResult或HttpForbiddenResult）。
1.3.5 继续执行或中断：如果AuthorizationFilter允许用户访问资源，则请求会继续执行后续的Action方法和其他过滤器（如ActionFilter、ResultFilter等）。如果用户未通过授权，则请求的执行流程会被中断，并返回相应的错误响应。
1.4 核心代码分析：
1.4.1 接口定义

public interface IAuthorizationFilter  
{  void OnAuthorization(AuthorizationContext filterContext); // ASP.NET MVC  // 或者  void OnAuthorization(AuthorizationFilterContext context); // ASP.NET Core MVC  
}

1.4.2 内置实现：AuthorizeAttribute

[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, Inherited = true, AllowMultiple = true)]  
public class AuthorizeAttribute : Attribute, IAuthorizationFilter  
{  // ... 其他成员和方法  public virtual void OnAuthorization(AuthorizationFilterContext context)  {  // 检查用户是否已认证  if (!context.HttpContext.User.Identity.IsAuthenticated)  {  // 用户未认证，设置未授权结果  context.Result = new ForbidResult(); // 或者 new ChallengeResult() 用于重定向到登录页面  return;  }  // 检查用户是否有权限（例如，基于角色或策略）  // ...（此处省略具体实现）  // 如果用户有权限，则不执行任何操作，允许请求继续处理  }  
}

1.4.3 自定义AuthorizationFilter

public class CustomAuthorizationFilter : Attribute, IAuthorizationFilter  
{  public void OnAuthorization(AuthorizationFilterContext context)  {  // 自定义授权逻辑  // 例如，检查用户是否属于某个特定角色或具有某些特定权限  // 如果用户未通过授权，则设置一个表示未授权的结果  if (!/* 自定义授权条件 */)  {  context.Result = new ForbidResult(); // 或者其他适当的ActionResult  return;  }  // 如果用户通过授权，则不执行任何操作，允许请求继续处理  }  
}

1.5 使用场景：
1.5.1 基于角色的访问控制：通过AuthorizeAttribute的Roles属性，可以限制只有特定角色的用户才能访问某些资源。
1.5.2 基于用户的访问控制：通过AuthorizeAttribute的Users属性，可以限制只有特定用户才能访问某些资源。
1.5.3 自定义授权逻辑：通过自定义AuthorizationFilter，可以实现更复杂的授权逻辑，如基于自定义权限、策略或规则的访问控制。
1.6 注意事项：
1.6.1 性能考虑：由于AuthorizationFilter在请求处理流程中较早执行，因此应该尽量保持其简单和高效，以避免对应用程序性能产生负面影响。
1.6.2 错误处理：当用户未通过授权时，应该提供清晰的错误信息和适当的错误处理机制（如重定向到登录页面、显示错误消息等）。
1.6.3 安全性：在实现AuthorizationFilter时，应该注意避免潜在的安全漏洞（如SQL注入、跨站脚本攻击等）。