我正在尝试在ASP.NET Core中创建自定义授权属性.在以前的版本中,可以覆盖bool AuthorizeCore(HttpContextBase httpContext).但这不再存在于AuthorizeAttribute.
制作自定义AuthorizeAttribute的当前方法是什么?
我想要完成的任务:我在Header Authorization中收到一个会话ID.从该ID我将知道特定动作是否有效.
如果我在控制器和动作上都有Authorize属性,哪一个会起作用?或者都会生效?
我开始使用默认项目AccountController,但我已将其扩展/更改为无法识别.但是,与原来一样,我有一个LogOn和LogOff动作.
显然,LogOn每个人都必须能够采取行动.但是,由于我已向此控制器添加了许多其他操作(以创建和编辑用户),因此我希望99%的操作都需要管理员角色成员资格.
我可以装饰我所有的行为,[Authorize Roles="Administrators"]但有风险,我会忘记一个.我宁愿通过使用该属性修饰控制器类本身来使其安全,然后放宽对我的LogOn方法的要求.我能这样做吗?
(因为,我可以在不创建自定义类的情况下开箱即用,等等.我不想让事情变得复杂得多.)