那些遇到过的问题

Web.API中的自定义授权

tom*_*tom 27 c# asp.net-mvc authorization asp.net-web-api

我对ASP.NET MVC的理解是,对于授权,我应该使用类似的东西 - 

public class IPAuthorize : AuthorizeAttribute {

protected override bool AuthorizeCore(HttpContextBase httpContext) {
    //figure out if the ip is authorized 
    //and return true or false
}
Run Code Online (Sandbox Code Playgroud)

但在Web API中,没有AuthorizeCore(..).

OnAuthorization(..)和MVC的一般建议是不使用OnAuthorization(..).

我应该在Web API中使用什么来进行自定义授权?

lea*_*ege 44

我根本不同意对立面 -

授权在授权过滤器中完成 - 这意味着您从System.Web.Http.AuthorizeAttribute派生并实现IsAuthorized方法.

您没有在普通的操作过滤器中实现授权,因为它们在管道中的运行时间晚于授权过滤器.

您也不会在过滤器中实现身份验证(如解析JWT) - 这在名为MessageHandler的可扩展性点中甚至更早完成.

  • 经过审核,我完全同意.我将放弃我的答案,以便正确的一个流向顶部.其他人投票支持删除,因此可以将其删除.;-) (6认同)
  • +1这是使用System.Web.Http.AuthorizeAttribute的正确答案.勉强使用actionfilter进行授权的唯一原因是,如果您需要访问反序列化的邮件正文以进行授权决策,但这很少是需要或良好实践. (3认同)

Gar*_*rez 11

我们使用的方法是一个自定义的ApiAuthorize属性,它继承自System.Web.Http.AuthorizeAttribute.例如:

public class ApiAuthorizeAttribute : AuthorizeAttribute
{
    readonly CreditPointModelContext _ctx = new CreditPointModelContext();

    public override void OnAuthorization(System.Web.Http.Controllers.HttpActionContext actionContext)
    {
        if(Authorize(actionContext))
        {
            return;
        }
        HandleUnauthorizedRequest(actionContext);
    }

    protected override void HandleUnauthorizedRequest(System.Web.Http.Controllers.HttpActionContext actionContext)
    {
        var challengeMessage = new System.Net.Http.HttpResponseMessage(System.Net.HttpStatusCode.Unauthorized);
        challengeMessage.Headers.Add("WWW-Authenticate", "Basic");
        throw new HttpResponseException(challengeMessage);

    }

    private bool Authorize(System.Web.Http.Controllers.HttpActionContext actionContext)
    {
        try
        {
            //boolean logic to determine if you are authorized.  
            //We check for a valid token in the request header or cookie.


        }
        catch (Exception)
        {
            return false;
        }
    }
}
Run Code Online (Sandbox Code Playgroud)

  • 您不应该覆盖OnAuthorization - 因为您将缺少[AllowAnonymous]处理. (9认同)
  • 怎么样的apis提供重置密码,注册等匿名服务? (8认同)
  • @Pushpendra允许匿名的目的是您可以将authorize属性分配给控制器,然后允许匿名处理您要从授权中排除的方法.否则,您需要在每个操作上使用authorize属性 (7认同)
  • 我认为你首先授权的原因是不允许匿名.叫我疯了,但这没有任何意义. (4认同)
  • @mare请勿使用授权属性进行此类调用!! (3认同)

归档时间:

查看次数:

27745 次

最近记录:

6 年,2 月 前
相关归档
验证字符串是否只包含C#中的字母 179
为什么C#结构不能被继承? 85
实体框架 - 代码优先 - 无法存储列表<String> 82
模拟一个抛出异常(moq)的方法,但其他方式就像模拟对象一样? 54
IIS URL重写与URL路由 48
obj目录中的*.dll.licenses文件不是在TeamCity中使用msbuild创建的 47
为什么添加@符号可以使这个工作? 19
三星6S上的C#.NET 4.5.1 MVC 5.2.2中的MP3流媒体 16
ASP.NET MVC3 - 您如何处理探测请求? 8
在asp.net mvc web api项目中的MessageHandlers与过滤器 7
难疑归档
如何在Git中克隆所有远程分支? 3987
使用Git将我的最后一次X提交压缩在一起 3294
如何在Java中将String转换为int? 2882
如何检查对象是否是数组? 2581
如何在Git中检索当前提交的哈希值? 1788
如何从文件内容创建Java字符串? 1440
在视图控制器之间传递数据 1340
如何配置git在本地忽略某些文件? 1237
如何加入(合并)数据框(内部,外部,左侧,右侧)? 1155
如何通过对象中的属性对List <T>进行排序 1146