用戶發(fā)起一個請求；

請求經過Asp.NetCore應用程序的中間件管道；

管道走完之后進入MVC的第一個過濾器：授權過濾器；

授權通過之后進入資源過濾器的前置方法；

將異常過濾器加入使用，后續(xù)有異?？梢赃M行捕獲，之前如果發(fā)生異常不能捕獲；

進行數據模型綁定，比如參數通過數據模型綁定傳參；

進入Action過濾器前置方法；

執(zhí)行Action方法具體邏輯；

進入Action過濾器后置方法；

進入Result過濾器前置方法；

渲染Result結果；

進入Result過濾器后置方法；

進入資源過濾器的后置方法；

進入中間件管道返回；

最后將響應結果展現給用戶；

授權過濾器(Authorization Filter)

授權，用于驗證請求是否有權限訪問對應的Action，一般包含登錄驗證、菜單權限(即接口權限)驗證等。授權過濾器只對請求進行驗證，是單向的，響應返回時不走該過濾器；

代碼擼起來：

這里先進行全局注冊過濾器進行測試，即只要注冊之后，所有請求都需要經過授權過濾器校驗，后續(xù)單獨說說注冊方式范圍：

在默認生成的接口中打印字符串，方便看執(zhí)行結果：

運行看結果：

通過上圖可以看到，已經進入授權過濾器中進行相關邏輯判斷；如果將授權邏輯中的局部變量validate設置為true，運行結果如下：

看過上一篇(跟我一起學.NetCore之熟悉的接口權限驗證不能少(Jwt))的小伙伴肯定有疑問：這和授權中間件中使用Authorize特性授權有什么區(qū)別？沒看過的小伙伴也沒關系，應該也會有同樣的疑問；來，聽我慢慢道來，老套路，扒扒授權中間件的代碼，看看怎么回事？

先來看看Authorize特性里面都有什么，關鍵是實現了IAuthorizeData接口，如下圖：

找到授權的入口點，即中間件注冊授權那里著手，如下圖：

從而找AuthorizationMiddleware的具體實現，關鍵代碼如下圖：

總的來說，使用授權中間的時，標注Authorize特性的Action，會通過默認的AuthorizeFilter進行驗證處理，這就是為什么在上一節(jié)權限驗證的時候我們沒有單獨編寫授權過濾器，而是偏重于校驗的邏輯，只關注驗證的角色或策略；這里就不打算再看AuthorizeFilter的源碼，有興趣的小伙伴好好研究研究。

資源過濾器(Resource Filter)

資源過濾器分為前置方法和后置方法，一般都會在前置方法做相關處理，比如說需要改改模型綁定的邏輯，但更多常用的是用于數據緩存處理，因為是在授權過濾器之后的第一個，如果取得緩存數據，直接返回結果，就減少后面代碼邏輯執(zhí)行；后置方法在之后所有代碼邏輯執(zhí)行完成，返回時經過。

代碼擼起來：

這里還是以全局的方式進行注冊資源過濾器：

運行效果如下：

將授權過濾器中的validate改為false，這里模擬代表有權限繼續(xù)執(zhí)行：

異常過濾器(Exception Filter)

用于服務器向客戶端寫入響應內容之前進行系統(tǒng)異常捕獲，一般用于業(yè)務場景統(tǒng)一異常的處理，如果沒有特殊需求，不必每種業(yè)務都進行異常處理，通過異常過濾器統(tǒng)一捕獲處理即可，記錄相關日志，便于異常問題分析；

先模擬處理業(yè)務時，拋異常了，如下：

異常信息直接返回給用戶，體驗是相當不好的，所以一般會將異常進行捕獲處理，由于異常信息容易讓開發(fā)者進行問題排查，所以一般會將其以日志的形式記錄；系統(tǒng)中肯定會考慮很多異常的地方，不可能處處都進行手動捕獲一下再處理，顯得代碼臃腫的同時還不好維護，所以用異常過濾器統(tǒng)一進行捕獲處理就顯得很有必要了，當然，一些很關鍵的業(yè)務可以進行單獨捕獲處理；異常過濾使用如下：

將其全局注冊，看運行效果：

小伙伴看到這，有沒好奇為什么不在授權過濾器和資源過濾器中拋出異常測試，而是選擇在Action方法中拋出異常，還記得第一張圖過濾器順序嗎(小伙伴再去重溫一下~)，那是因為授權過濾器和資源過濾器那還沒有異常過濾器，所以發(fā)生異常時捕獲不到，這也是小伙伴要特別注意的，需要自己處理好異常；只要在異常過濾器之后請求處理的異常都能捕獲到啦；

Action過濾器(Action Filter)

Action過濾器有前置和后置兩種方法，一般偏向于業(yè)務使用，比如在前置方法中進行驗證模型綁定參數的合法性，也可以對參數進行加工等；后置方法可以對返回結果的處理；

平時用的比較多，如下：

全局注冊，運行如下：

有沒有想試一下，在Action過濾器方法中拋出異常時，看看異常過濾器能不能捕獲到，答案肯定是：能，但在這不截圖給小伙伴們看，小伙伴們動手試試嘛。

Result過濾器(Result Filter)

Result過濾器也有前置和后置兩種方法，前置方法可以在結果沒返回前，可以對Action返回的結果進行干預處理，后置方法一般是結果已經渲染之后執(zhí)行；

API項目用的不多，在MVC Web項目比較適用，使用方式如下：

將其進行全局注冊，運行如下：

同樣在此過濾器中拋出異常，異常過濾器捕獲不到啦。

意不意外，驚不驚喜，其實只要開始進行響應結果處理時，異常過濾器就不捕獲對應異常，需要自己單獨處理；