那些遇到过的问题

自定义Api授权忽略AllowAnonymous

Zho*_*len 15 c# asp.net-mvc custom-attributes

我有一个CustomApiAuthorizeAttribute:

public class CustomApiAuthorizeAttribute : AuthorizeAttribute
{
    public override void OnAuthorization(HttpActionContext actionContext)
    {
        if (actionContext == null)
            throw new ArgumentNullException("actionContext");

        bool skipAuthorization = actionContext.ActionDescriptor.GetCustomAttributes<AllowAnonymousAttribute>().Any() || 
            actionContext.ActionDescriptor.ControllerDescriptor.GetCustomAttributes<AllowAnonymousAttribute>().Any();

        if (skipAuthorization) return;

        var cookie = HttpContext.Current.Request.Cookies[FormsAuthentication.FormsCookieName];

        if (cookie != null)
        {
            var decCookie = FormsAuthentication.Decrypt(cookie.Value);

            if (decCookie != null)
            {
                if (!string.IsNullOrEmpty(decCookie.UserData))
                {
                    HttpContext.Current.User = new CustomPrinciple(new CustomIdentity(decCookie));
                    return;
                }
            }
        }

        HttpContext.Current.Items["RequestWasNotAuthorized"] = true;

        HttpContext.Current.Response.Cookies.Add(new HttpCookie(FormsAuthentication.FormsCookieName) { Expires = DateTime.Now.AddDays(-1d) });

        HandleUnauthorizedRequest(actionContext);
    }
}
Run Code Online (Sandbox Code Playgroud)

我有一个控制器:

[CustomApiAuthorize]
public class RacingController : CustomApiController
{
    [HttpGet]
    [AllowAnonymous]
    public Venues Venues()
    {
        var asr = Services.GetVenues(Token);
        if(!string.IsNullOrEmpty(Token))
            SetAuthTicket(asr.Token);
        return asr.Payload;
    }
 }
Run Code Online (Sandbox Code Playgroud)

尝试调用此操作时,我一直收到401 Unauthorized错误.调试告诉我authorizeattribute没有检测到[AllowAnonymous]的存在,但我不明白为什么.

谁能看到我做错了什么?或者知道其他什么东西可能会有冲突吗?

JTe*_*ech 17

如果您查看System.Web.Http.AuthorizeAttribute的源代码,则会检查是否应该跳过授权:

public override void OnAuthorization(HttpActionContext actionContext)
    {
        if (actionContext == null)
        {
            throw Error.ArgumentNull("actionContext");
        }

        if (SkipAuthorization(actionContext))
        {
            return;
        }

        if (!IsAuthorized(actionContext))
        {
            HandleUnauthorizedRequest(actionContext);
        }
    }

        private static bool SkipAuthorization(HttpActionContext actionContext)
    {
        Contract.Assert(actionContext != null);

        return actionContext.ActionDescriptor.GetCustomAttributes<AllowAnonymousAttribute>().Any()
               || actionContext.ControllerContext.ControllerDescriptor.GetCustomAttributes<AllowAnonymousAttribute>().Any();
    }
Run Code Online (Sandbox Code Playgroud)

所以我所做的是在我的自定义授权属性中实现类似的检查.

归档时间:

查看次数:

6391 次

最近记录:

11 年,10 月 前
相关归档
将UTC/GMT时间转换为当地时间 291
在WinForms设计器中显示控件层次结构 86
为Acumatica创建自定义用户控件 70
如何获取Sql Server数据库中所有模式的列表 59
错误3002:映射片段的问题| c#linq to entities 59
将规则重写为HTTPS,但在localhost上除外 33
dotnettopenauth与asp.net mvc证明太令人沮丧使用 17
它应该是WebAPI还是asmx 14
如何防止在MVC 5脚手架中自动安装Bootstrap(和依赖项)? 11
最大上传长度 9
难疑归档
如何在JavaScript中验证电子邮件地址? 4099
了解切片表示法 3024
在HTML5 localStorage中存储对象 2386
Vim清除上次搜索突出显示 1824
如何为C#Auto-Property提供默认值? 1773
如何在Java中连接两个数组? 1299
enctype ='multipart/form-data'是什么意思? 1290
循环遍历Bash中的文件内容 1242
jQuery document.createElement等价? 1226
致命错误:Python.h:没有这样的文件或目录 1042