基于Session的身份认证通过后，后续访问控制器的函数时该如何控制访问权限？虽然可以按上篇文章方式在需要做控制的函数开头检查Session的用户标识，可以写个全局通用检查类供所需函数调用，但还是有更简便的方法，本文学习并测试参考文献中的权限控制方式。
  参考文献3中介绍的方式是自定义继承Controller类的权限控制基类，并重写其中的OnActionExecuting函数，该函数是在访问控制器的函数前调用，能够从输入参数中获取当前调用方法及所属控制器信息，也能获取请求数据。

//
// 摘要:
//     Called before the action method is invoked.
//
// 参数:
//   context:
//     The action executing context.
[NonAction]
public virtual void OnActionExecuting(ActionExecutingContext context);

  新建BaseController类继承Controller类，重写OnActionExecuting函数，在函数内判断如果Session不可用或者没有用户标识，则跳转到登录页面。然后将测试项目中的HomeController改为继承BaseController。测试过程中只要不登录页面直接点击Home或Privacy链接，则会执行OnActionExecuting函数，从而跳转到登录页面。

 public class BaseController: Controller
 {
     public override void OnActionExecuting(ActionExecutingContext context)
     {
         if (!HttpContext.Session.IsAvailable ||
             string.IsNullOrEmpty(HttpContext.Session.GetString("user")))
         {
             context.Result = RedirectToAction("Login", "Account"); 
         }
         else
         {
             base.OnActionExecuting(context);
         }
     }
 }

  测试代码并没有写更细致的控制逻辑，不过从OnActionExecuting函数的输入参数context中可以获取当前调用函数所属的控制器类数据及函数数据，包括函数中的自定义特性等信息，通过这些信息可以做更精细的访问控制。

参考文献：
[1]https://www.cnblogs.com/boonya/p/18557417
[2]http://www.pzhseo.com/article/dipjeg.html
[3]https://cloud.tencent.com/developer/article/1783650
[4]https://blog.csdn.net/ousetuhou/article/details/135392012
[5]https://blog.51cto.com/u_16213593/11106992