> Environment

今回の開発環境はこんな感じです。

• Visual Studio 2013 (update4)
• ASP.NET MVC5.2.3
• ASP.NET Identity2.2.1

> OverView

ASP.NET MVCで個人認証のテンプレート使って、DBの接続はざっくりEntityFrameworkでアプリ作るところに、パスワード要件を実装と思ってください。
AuthorizeAttributeのFilterを作って、アプリに適用させることで実現します。

手順の全体像は、

1. ASP.NET MVC5で、個人認証つきのプロジェクト作成
2. Attribute作成前の準備
3. 要件を満たすためのAttribute作成
4. アプリに適用

です。

> Implimentation 1. ASP.NET MVC5、個人認証のプロジェクト作成

これはただの下準備なので、さっくり進めます。
Visual Studioで新規プロジェクトを作成します。テンプレートの選択は、もちろん[Web]です。

たまに[VisualStudio2012]を選択する方がいるのですが、選択するのは、上図の通りWebです。お間違えなく。

そして、MVCで個人認証で進めます。

> Implimentation 2. Attribute作成前の準備

パスワード変更の最終変更日を管理するので、DBにカラムを持ちます。
ASP.NET Identity2.2.1で個人認証すると、データベースに[AspNetUsers]ってテーブルできますよね。

このテーブルでパスワード変更の最終変更日も管理しようと思います。

話は脱線しますが、わからんことがあって放置している点を書いておくと、
MembershipプロバイダーのLastPasswordChangedDateあたりを使うべきなのかなーとかが？？です。AspNetUsersテーブルもあるのにこっちも使うのは面倒では？と何も調べず知らずに書いてます。よいプラクティスをご存じなMVPさん方々、ご教授願いますm(_ _)m...

さて、話は戻ります。
[AspNetUsers]テーブルに[LastPasswordChangedDate]列を追加します。
パスワード変更の日付は、DBファーストでもコードファーストでもどちらで書いても構わないのですが、コードファーストでいきますか（いつもはコードファーストが嫌いなのでDBファーストで書いてます...）。

[ソリューションエクスプローラ]の[Models] > [IdentityModels.cs]を開きます。
以下のように、[ApplicationUser]クラスに[LastPasswordChangedDate]プロパティを追加します。

public class ApplicationUser : IdentityUser
{
    public async Task<ClaimsIdentity> GenerateUserIdentityAsync(UserManager<ApplicationUser> manager)
    {
        // authenticationType が CookieAuthenticationOptions.AuthenticationType で定義されているものと一致している必要があります
        var userIdentity = await manager.CreateIdentityAsync(this, DefaultAuthenticationTypes.ApplicationCookie);
        // ここにカスタム ユーザー クレームを追加します
        return userIdentity;
    }

    public DateTime? LastPasswordChangedDate { get; set; }

}

あとは、Migrationすればデータベース側に反映されます。個人的には、マイグレーションで面倒なことが起きるのでDBファーストが好みです。
しばらくMigrationなんてしてないのでどうするんだっけ感がありますが、パッケージマネージャーコンソールで、

enable-migrations

を実行して、Migrationを有効にします。
次は、こんな感じで適当に...

add-migration InitialCreate

最後に、

update-database

でデータベース側も反映されます。

migrationについて不明の方は、ここら辺をご参考いただければと。
www.asp.net

> Implimentation 3. 要件を満たすためのAttribute作成

それでは本題のAttribute作成です。
プロジェクトに適当にフォルダを追加します。今回は以下のようにフォルダと[PasswordExpirePeriodAtteribute]クラスを追加しました。

コードは以下のようにしています。

public class PasswordExpirePeriodAttribute : AuthorizeAttribute
{
    private static readonly int PasswordExpirePeriod = 90;

    public override void OnAuthorization(AuthorizationContext filterContext)
    {

        if (filterContext.ActionDescriptor.ControllerDescriptor.ControllerName.ToLower() == "manage") return;

        var user = HttpContext.Current.User;
        if (user != null && user.Identity.IsAuthenticated)
        {
            using (var context = new ApplicationDbContext())
            {
                var passwordChangedDate = context.AspNetUsers.Find(user.Identity.GetUserId()).LastPasswordChangedDate;
                // NULLの場合＝初回ログイン
                if (passwordChangedDate == null)
                {
                    filterContext.Controller.TempData["ExpirePeriodMessage"] = "初期パスワードの変更をしてください。";
                    filterContext.Result = new RedirectResult("~/manage/changepassword/");
                    return;
                }

                //期限切れの場合
                if (DateTime.Today >= passwordChangedDate.Value.AddDays(PasswordExpirePeriod))
                {
                    filterContext.Controller.TempData["ExpirePeriodMessage"] = "パスワードの有効期限が切れています。変更するまでここから逃げることはできませんよ？";
                    filterContext.Result = new RedirectResult("~/manage/changepassword/");
                }

            }
        }
    }
}

まず、[PasswordExpirePeriodAttribute]クラスは、[AuthorizeAttribute]を継承したクラスと定義し、フィルターとしての動作をさせます。
パスワードの有効期限は、staticな変数を持たせて90日を設定しました。多少真面目に書く場合は、webconfigとかにもたせて読み込む感じでしょうか。

動作のトリガーとして、[OnAuthorization]メソッドをoverrideします。
ここら辺が不明の場合は、"authorization filter asp.net mvc 5"あたりでググってみるとよいと思います。

次に、manageのコントローラーに来た場合は、このフィルターを抜けるようにしています。

 if (filterContext.ActionDescriptor.ControllerDescriptor.ControllerName.ToLower() == "manage") return;

今回作っているASP.NET MVCのプロジェクトのパスワード変更が、[ManageController]の[ChangePassword]メソッド２つにリダイレクトするようにしています。
そのため、ManageControllerでも同様にフィルターを書けてしまうと無限リダイレクトループしてしまうからです。

次の処理は、DBにアクセスして[LastPasswordChangedDate]がnullだったら初期パスワード発行状態と判断し、パスワード変更画面へリダイレクトします。
そのため、ユーザーの登録時には、[LastPasswordChangedDate]を登録せずNULLにしておくという勝手なルールがあることはお察しくださいませ。
[LastPasswordChangedDate]の型がNullableな理由です。

ここで一点注意していただきたいのは、以下のコード部分です。

 using (var context = new ApplicationDbContext())
{
       var passwordChangedDate = context.AspNetUsers.Find(user.Identity.GetUserId()).LastPasswordChangedDate;
      ...

[ApplicationDbContext]は、私は勝手にカスタマイズしているので、デフォルトで同様のコードを書いても[AspNetUsers]のテーブルにアクセスできません！DbContextをちゃんと作って、そのcontextを呼ぶ必要があります。このEntityframeworkの入門としてweb上に溢れていると思うので省略しちゃいます。

それ以降のコードでは、パスワードの最終更新から90日過ぎたかをみて、リダイレクトを判断します。

> Implimentation 4. アプリに適用

さて、最後にアプリに適用です。
ものがものなので、今回の例ではGlobalFiltersに登録しちゃいます。
ソリューションエクスプローラーの[App_Start]フォルダ > [FilterConfig.cs]を開きます。
[RegisterGlobalFilters]メソッドに、以下のようにフィルターを追加します。

filters.Add(new PasswordExpirePeriodAttribute());

GlobalFiltersに登録するということは、アプリ全体に適用されるので、それが不適合な場合は、必要なクラスのみのフィルターをつけます。

これで動作しますが、パスワードを変更した際にLastPasswordChangedDateを更新させてあげる処理を追加する必要はありますのでお忘れなく。
あと、パスワード変更のView（~\Views\Manage\ChangePassword.cshtml）では、TempData["ExpirePeriodMessage"]に値があれば表示するみたいなことしてあげれば、メッセージを表示できます。

なんか泥臭いコードなのであまり満足度低めなのですが、取り急ぎメモということで...

さて焼肉食べに行こう...

Reference

さて、本題ですが、ActionFilterの実装は、この方のサイトを参考にしています。
rion.io

まず、ActionFilterの基本については、こちらのサイトを参照くらいでしょうか。
https://msdn.microsoft.com/ja-jp/library/dd381609(v=vs.100).aspx

ざっくりまとめると、

• クラスを作ってActionFilterAttributeを継承させると、ActionFilterクラスの出来上がり。4つのオーバーライドメソッドをオーバーライドすることで制御を行う。
• OnActionExecutingメソッドはActionが呼び出される直前に動く
• OnActionExecutedメソッドは、Actionが終了したときに動く
• OnResultExecuting メソッドは、アクションによって返された ActionResult インスタンスが呼び出される直前に動く
• OnResultExecuted メソッドは、結果が実行された直後に動く

Overview

やりたいことは、Submitボタンを押された後、処理が終わる前にsubmitを連打されれいたら、検知して、無視するとかエラー返すとかです。

ActionFilterのOnActionExecutingメソッドで、以下のことを実装して実現します。

• Requestがあったユーザーを特定する仕組みをつくる
• ユーザーが最初のアクセス（=submit）から特定秒数の間にアクセスがあったら、検知して処理（エラーとか無視とか）を行う

Implimentation : 1

まず、検証するControllerとView作っちゃいます。

Controllerはこんな感じでざっくり。

public class DemoController : Controller
{
    public ActionResult Index()
    {
        return View();
    }

    [HttpPost]
    public async Task<ActionResult> DemoSubmit()
    {
        await Task.Delay(3000);

        TempData["SummittedTime"] = DateTime.Now.ToString("hh:MM:ss fff");
        return RedirectToAction("Index");
    }
}

submitしたら、3秒待って、Viewを表示するだけです。ただ、submitした時間を表示します。
今回の話題とは全く関係ない小ネタですが、理由なくRedirectToActionさせて時間を表示するのでViewBagではなくTempDataに時間を入れて、表示できるようにしています。
ViewBagに入れるとRedirectしたらデータ消えちゃいますよね...。

Viewは、Index.cshtmlをこんな感じでまったり作りました。

<h2>demo prevent doubl submittion</h2>

@if (TempData["SummittedTime"] != null)
{
    <p>@TempData["SummittedTime"] </p>
}

@using (Html.BeginForm("DemoSubmit", "Demo"))
{
    <input class="btn btn-warning" type="submit" name="DemoSubmit" value="3秒以内の連打禁止だおー" />
}

Implimentation : 2

では、本題のActionFilterです。
Propertyをいくつか用意してます。
まず、「DelayTimer」。同一ユーザーから一度Requestを受けたら、delayする時間を設定するプロパティ。秒で設定します。今回はデフォルトで3秒を設定しました。
後は、エラーメッセージだったり、RedirectするUrl（今回は全然触れてない...）。

using System;
using System.Diagnostics;
using System.Linq;
using System.Net;
using System.Security.Cryptography;
using System.Text;
using System.Web.Caching;
using System.Web.Mvc;

public class PreventDoubleSubmitAttribute : ActionFilterAttribute
{
    #region class header

    private int _delayTimer = 3;
    public int DelayTimer
    {
        get { return _delayTimer; }
        set { _delayTimer = value; }
    }

    private string _err = "DoubleSubmit occurred";
    public string ErrorMessage
    {
        get { return _err; }
        set { _err = value; }
    }

    public string RedirectUrl { get; set; }

    #endregion
}

では、コアとなるOnActionExecutingの処理です。
まず、ユーザーを一意に認識させるために、リクエストの中の"HTTP_X_FORWARDED_FOR"を取得します。nullだったら、UserHostAddressを取得します。
その情報に、リクエストのUserAgentを追加しています。
あと、リスエストのUrlとパラメータを取得します。
それらの情報からMD5ハッシュを生成して、ユーザーの一意となるキーを作ります。
そして、ハッシュがCacheに存在するかを確認します。
存在する場合は、Prevent対象と判断し、なんらかの処理を入れます。今回は、BadRequestを返してしまっています。

存在しなければ、初回のリクエストと判断し、Cacheに値をセットします。その際に、そのCacheの有効期限にDelayTimerプロパティの秒数をセットします。

public override void OnActionExecuting(ActionExecutingContext filterContext)
{
    var request = filterContext.HttpContext.Request;
    var cache = filterContext.HttpContext.Cache;

    //一意となるデータを取得
    var firstrequest = request.ServerVariables["HTTP_X_FORWARDED_FOR"] ?? request.UserHostAddress;
    firstrequest += request.UserAgent;

    var current = request.RawUrl + request.QueryString;

　　//ハッシュ生成
    var hash = string.Join("", MD5.Create().ComputeHash(Encoding.ASCII.GetBytes(firstrequest + current)).Select(s => s.ToString("x2")));
    if (cache[hash] != null)
    {
        //今回は、BadRequestをなげます。
        filterContext.Result = new HttpStatusCodeResult(HttpStatusCode.BadRequest);
        base.OnActionExecuting(filterContext);

        //おもむろにログを出してみたり...。
        var controller = filterContext.RouteData.Values["controller"].ToString();
        var action = filterContext.RouteData.Values["action"].ToString();
        Trace.TraceWarning("Double Submit Occured: {0} - {1}", controller, action);
    }
    else
    {
　　　　//存在しなければ、キャッシュに値をセットする
        cache.Add(hash, string.Empty, null, DateTime.Now.AddSeconds(DelayTimer), Cache.NoSlidingExpiration, CacheItemPriority.Default, null);
    }

    base.OnActionExecuting(filterContext);
}

Implimentation : 3

最後にControllerにAttributeを追加してあげれば完了です。

[HttpPost]
[PreventDoubleSubmit]
public async Task<ActionResult> DemoSubmit()
{
....

これで、一度Submitした後、3秒以内に連打するとBadRequestが出力されます。

DelayTimerの時間など、プロパティにアクセスしたい場合は、こんな感じで書いてあげればよいです。

[HttpPost]
[PreventDoubleSubmit(DelayTimer = 5)]
public async Task<ActionResult> DemoSubmit()

今回は、javascriptで制御しているのに、それを掻い潜って連打攻撃してきたのであればBadRequestで沈める想定なのですが、ModelStateにエラーメッセージを追加したいとかもあるでしょうか。

if (cache[hash] != null)
{
    filterContext.Controller.ViewData.ModelState.AddModelError("DoubleSubmit", ErrorMessage);
}
else
{
...

こうした場合、controller側でModelstateのエラーを拾ってあげればよいです。

if (ModelState.Values.Select(vals => ModelState["DoubleSubmit"]).Any(v => v != null))
{
    //なんかエラー処理を...
}

なんか色々ざっくり書いてしまったメモですが、今回はこの辺で...。

Global.asaxの編集

Application_Startメソッド内に以下の内容を追加します。
そして、Application_PreSendRequestHeadersメソッドを追加します。
ヘッダーの処理関連と他諸々...。

protected void Application_Start()
{
    //　上の方は略

    ViewEngines.Engines.Clear();
    ViewEngines.Engines.Add(new RazorViewEngine());
    AntiForgeryConfig.CookieName = "token";
    AntiForgeryConfig.SuppressXFrameOptionsHeader = true;
}

protected void Application_PreSendRequestHeaders()
{
    Response.Headers.Remove("Server");
    Response.Headers.Remove("X-AspNetMvc-Version");
}

App_Start/RouteConfigの編集

ここでは、RegisterRoutesメソッド内に以下のコードを追加します。
urlをlowercaseにするのと、トレイリングスラッシュ。

public static void RegisterRoutes(RouteCollection routes)
{
    //　上の方は略

    routes.LowercaseUrls = true;
    routes.AppendTrailingSlash = true;
}

WebConfigの編集

認証クッキー絡みの設定などです。

<system.web>
    <httpRuntime targetFramework="4.5" enableVersionHeader="false" />
    <authentication mode="Forms">
        <forms requireSSL="true" />
    </authentication>
    <httpCookies requireSSL="true" />

あと、　SSLはもちろん有効にしてます。

ヘッダー絡みの変更については、Application_PreSendRequestHeadersメソッドで一元管理しようかなーとかも思いましたが、「まいっか」という理由でやめました。
あと、
ASP.NET MVCでResponse Headerのサーバーバージョンをどうやって隠しますか？ - のんきネコ - 博客园
で書いてある404エラー時にヘッダーにサーバーのバージョンがでちゃう事件は、現在の環境では起こらないので、どっかで誰かが改善してくれてたんだなと思ってます。
→2015/1追記ですが、結果として上のリンクのCustomHeaderModuleつくる対応、やるべきって判断になりました！。

> Overview

private bool ExistsGeoInfoInFile(Bitmap bitmap){

    var tags = (int[])Enum.GetValues(typeof(ExifTag));

    return bitmap.PropertyItems.Where(c => tags.Contains(c.Id))

                                               .Count() == tags.Length;

}

１１．コードスニペット使おう

良く使うのは、プロパティのスニペット「prop」。
操作をさっと解説。

「prop」と入力して、Tabを2回押すと自動プロパティのスニペットが出現。

型（int）にフォーカスが当たっているので、変更したい場合は入力します。
そのままマウスは持たずにTabを2回押すと、MyPopertyが全選択でフォーカス当たるので、
好みのプロパティ名を入力します。
Enter押したら入力完了。

スニペット使って入力するときの基本操作は、
「Tab使ってフォーカス移動してEnterで確定」

【エヴァンゲリオン第参話　｢鳴らない､電話｣ 】的には、
｢目標をセンターに入れてスイッチ…目標をセンターに入れてスイッチ…目標をセンターに入れてスイッチ…」
と一緒です。

ifとかforでも同じパターンなので慣れるとコーディング速度UPUP！（と信じたい）。
Console.WriteLine()の「cw」、Constructorの「ctor」、デストラクターの「~」、「#region」とか「if」「for」「try」「propdp」などなど用意されているのだけでたーくさんあります。
C#だと、MSDNのVisual C# のコード スニペットに載ってる。
また、自分で作ることもできます。

１２．小技 - 操作関連

行選択！
カーソルを下の図のあたりに持っていき、クリックすると行選択できます。

１行でも複数行でも選択してドラッグ＆ドロップで移動可能。

選択といえば、Visual Studioは矩形選択ももちろんできます。操作は多くのエディタと一緒なので略。

次。
カーソル位置履歴。
コードを解析してるときとかに、メソッドの「定義へ移動」しまくって深いとこまで潜ってしまったとき（この表現で意味通じるの？と不安を感じる）
Cntrl + [-]（マイナス）を押すと、前にカーソル置いたところに戻ってくれる。
[-]（マイナス）数回押せばもとのソースに戻ってくれるので便利。

「定義へ移動」といえば、
前回のVisualStudio 2013で開発する前に準備しておきたい17のこと(2/3)でちょっと触れましたが、Productivity Power Tools 2013を入れておけば、メソッドにカーソルあててCntrl + Clickすると、「定義をここに表示」が起動します。
（拡張してなくてもalt + F12で表示されるけど）

次、
クリップボードリング！
エクセルでもいうクリップボードの履歴。
Ctrl+Cとかでコピーした後、Ctrl+Vでペーストするのではなく、
Cntrl + Shift + V でペーストすると発動します。
Cntrl + Shiftを押したまま、Vを押せばコピーした履歴をさかのぼってくれるから、
数個の値をコピーするときには有用。たくさんあるときは面倒と感じます。

１３．小技 - **ウインドウ関連

まずは、「タスク一覧」かなー。
メニューバーの「表示」→「タスク一覧」を選択

タスク一覧が表示される。
ユーザータスクは、タスクを作成して管理できます。
コード内のコメントとタスクを紐づけることもできて、そっちを割とよく使ってますかね。
使い方は簡単。
こちらのMSDNで丁寧に説明しているので、説明省略。

ウインドウ関連といったものの、あと、特にないことに気づいてしまった・・・
超基本なところですが、
「イミディエイト」ウインドウ、
「出力」ウインドウ
「ウォッチ」
あたりをデバッグの時によく使うのはいうまでもないところでしょうか。

最近あまり開発してないから使ってないけど、
「並列ウォッチ」
も数年前に見てたなと思い出した・・・。

１４．デバッグの方法は抑えておこう

先人の偉大な記事があるので、そちらを紹介。Visual Studio 2008の頃の記事だけど、基本的なことは変わらないです。

あと、ブレークポイントは停止の条件を付けたり色々できる点はつけておきたい。
ブレークポイントを付けた後、右クリックで以下が表示されるので、選択してあとはお好きなようにと。

詳細は、MSDNのこちら参照ですかね。
Breakpoints: Use Hit Counts, Call Stack Functions, and Conditions to Break When and Where You Want in the Visual Studio Debugger

余談ですが、Visual Studio2015（PREVIEW)だと、ブレークポイントでログ出すとかも出来る。
原因不明なバグ調査するときとか、ログ出力コードを直接書き込まずに、ブレークポイントからログ出すとかできる、既存コードを汚さずに済むから良さそうですな。
関係ないけど画像貼っちゃった。どんどん便利になりますなー。

１５．LINQは使おう　

もはや圧倒的なネタ切れ感が漂う１５個目は、LINQは圧倒的に使おうよというお話。
C#好きな人の特徴の一つがLINQだと思い込んでいるのだが、エンタープライズ系の方は意外と知らないとか使ってないとか使えないとか。それくらいそっちの方々は遅れている傾向にある（私が仕事で出会った人の傾向なので、一般論ではないよ）。

ここでは説明しきれないが、
@ufcpp大先生の
LINQ - C# によるプログラミング入門 | ++C++; // 未確認飛行 C
あたりから入っておけば間違いないだろう♪
LINQ is 神。

１６．その他お薦め拡張　

有料の拡張ではあるが、C#界ではもはや必須？のReSharper

Unity使うなら、

１７．最後に

世の中には、テスト駆動開発やドメイン駆動開発とかあるが、その中でも裏社会で最強と言われるのが萌え駆動開発（主観全開でごめんなさいごめんなさい）。

そのツールとして、Pronama-chan IDE extension
 ClaudiaIDE extension

というオチになったが、今後も活用できることを願って今回のブログを終えよう。