开源博客项目Blog中提供了另一种访问控制方式，其基于自定义类及函数的特性类控制访问权限。本文学习并测试开源博客项目Blog的访问控制方式，测试程序中直接复用开源博客项目Blog中的相关类及接口定义，并在其上调整判断逻辑。
  首先是接口AllowAccessAttribute，用于标识函数是否需要访问控制。

[AttributeUsage(AttributeTargets.Method)]
public class AllowAccessAttribute : Attribute
{}

  然后定义特定类AuthorizationAttribute ，用于标识并处理指定控制器类的访问控制，在类中实现OnAuthorization函数，这里调整了原博客项目Blog的访问控制逻辑（Blog项目使用基于Cookie的身份认证，其在函数内使用HttpContext.User相关信息进行登录判断），函数的输入参数AuthorizationFilterContext中包含有待访问的控制器类及函数信息（如下截图所示），可以据此做更详细的访问控制。

public class AuthorizationAttribute : Attribute, IAuthorizationFilter
{
    public void OnAuthorization(AuthorizationFilterContext context)
    {
        bool ignore = ((ControllerActionDescriptor)context.ActionDescriptor).MethodInfo.GetCustomAttributes(false).Any(f => f is AllowAccessAttribute);
        if (!ignore)
        {
            if (!context.HttpContext.Session.IsAvailable ||
                string.IsNullOrEmpty(context.HttpContext.Session.GetString("user")))
            {
                context.Result= new RedirectToRouteResult(
                            new RouteValueDictionary
                            {
                                { "controller", "Account" },
                                { "action", "Login" }     
                            });
                return;
            }
        }
    }
}

  在测试项目中的使用示例如下所示，最终程序的运行效果是访问Home/Privacy可以直接看到页面，放在Home/Index的话，如果没有登录则跳转到登录页面。

[Authorization]
public class HomeController : Controller
{
    public IActionResult Index()
    {
        ViewData.Add("CurUser", HttpContext.Session.GetString("user"));
        return View();
    }
    
    [AllowAccess]
    public IActionResult Privacy()
    {
        return View();
    }
}

参考文献：
[1]https://www.cnblogs.com/boonya/p/18557417
[2]http://www.pzhseo.com/article/dipjeg.html
[3]https://cloud.tencent.com/developer/article/1783650
[4]https://blog.csdn.net/ousetuhou/article/details/135392012
[5]https://blog.51cto.com/u_16213593/11106992
[6]https://blog.csdn.net/weixin_30371469/article/details/97157033