我有一个MVC Web Api控制器,它使用类级别的[Authorize]属性。这使得所有的api方法都需要授权,但是我想创建一个名为[ApiPublic]的属性来覆盖[Authorize]属性。对于普通的MVC控制器,有一种类似的技术描述here。
我尝试创建一个基于System.Web.Http.AuthorizeAttribute的AuthorizeAttribute,但如果我将它放在具有类级别[Authorize]的api方法上,则不会调用任何重写的事件。任何人都知道如何覆盖web api的授权?
[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, AllowMultiple = false, Inherited = true)]
public class ApiPublicAttribute : AuthorizeAttribute
{
protected override void HandleUnauthorizedRequest(System.Web.Http.Controllers.HttpActionContext actionContext)
{
base.HandleUnauthorizedRequest(actionContext);
}
public override void OnAuthorization(System.Web.Http.Controllers.HttpActionContext actionContext)
{
base.OnAuthorization(actionContext);
}
protected override bool IsAuthorized(System.Web.Http.Controllers.HttpActionContext actionContext)
{
return true;
}
}
答案 0 :(得分:9)
我可以建议您只使用[AllowAnonymous]吗?
您可以在任何方法上对此进行归因,它将覆盖您在类级别指定的Authorize属性,从而使您无需编写自己的属性。