在自定义授权MVC4 Web Api中访问post或get参数

时间:2012-10-10 10:27:55

标签: .net asp.net-mvc-4 authorization asp.net-web-api

是否可以通过HttpActionContext对象访问post或get参数?

我有一组传感器可以将数据记录到提供REST API的Web服务器上。我想通过让传感器在数据中包含其硬件ID然后在数据库中查找以查看id是否存在来介绍某种身份验证/授权。由于API提供了许多web api操作方法,我最好使用自定义授权属性

public class ApiAuthorizationFilter : AuthorizeAttribute
{
    protected override bool IsAuthorized(HttpActionContext actionContext)
    {
        return false;
    }
}

如何从actionContext访问post / get数据?

编辑: POST的例子

POST /Api/api/ActionMethod/ HTTP/1.1\r\n
Content-Type: application/json\r\n
Host: localhost\r\n
Accept: */*\r\n
Content-Length:52\r\n
\r\n
{"Id": '121a222bc', "Time": '2012-02-02 12:00:00'}\r\n

度过美好的一天!

5 个答案:

答案 0 :(得分:62)

由于其性质,AuthoriseAttribute看起来像在模型绑定器和参数绑定运行之前在管道中调用。当您访问Request.Content并从中读取时也遇到问题...这只能是done once,如果您要在auth属性中尝试它,您可能会破坏mediaTypeFormater ...

  

在WebAPI中,请求体(HttpContent)可能是只读,无限,非缓冲,不可重绕的流。

<强>更新 有不同的方法来指定执行上下文... http://msdn.microsoft.com/en-us/library/system.web.http.filters.filterscope(v=vs.108).aspx。 AuthoriseAttribute是“全局”,因此访问操作信息的时间过早。

鉴于您希望访问模型和参数,您可以稍微改变您的方法并使用OnActionExecuting过滤器(“Action”过滤器范围),并根据您的验证抛出401或403。

此过滤器稍后在执行过程中调用,因此您可以完全访问绑定数据。

下面非常简单的例子:

public class ApiAuthorizationFilter : ActionFilterAttribute
{
    public override void OnActionExecuting(HttpActionContext actionContext)
    {
        Foo model = (Foo)actionContext.ActionArguments["model"];
        string param1 = (string)actionContext.ActionArguments["param1"];
        int param2 = (int)actionContext.ActionArguments["param2"];

        if (model.Id != "1")
            throw new HttpResponseException(System.Net.HttpStatusCode.Forbidden);

        base.OnActionExecuting(actionContext);
    }
}

控制器示例:

public class Foo
{
    public string Id { get; set; }
    public DateTime Time { get; set; }
}

public class FoosController : ApiController
{
    // PUT api/foos/5
    [ApiAuthorizationFilter]
    public Foo Put(int id, Foo model, [FromUri]string param1 = null, int? param2 = null)
    {
        return model;
    }
}

其他答案说的是......他们是对的,如果您可以访问URL上的所有内容,请通过请求获取内容;但是,我认为模型和请求内容应该保持不变:

var queryStringCollection = HttpUtility.ParseQueryString(actionContext.Request.RequestUri.Query);

    //example for param1
    string param1 = queryStringCollection["param1"];
    //example for param2
    int param2 = int.Parse(queryStringCollection["param2"]);
    //Example of getting the ID from the URL
    var id = actionContext.Request.RequestUri.Segments.LastOrDefault();

答案 1 :(得分:24)

在调用/api/client/123/users之类的内容时,我访问了上下文路由数据以从自定义AuthorizeAttribute中获取参数:

public class CustomAuthorizeAttribute : AuthorizeAttribute
  {
     protected override bool IsAuthorized(System.Web.Http.Controllers.HttpActionContext actionContext)
     {
        var clientId = Convert.ToInt32(actionContext.ControllerContext.RouteData.Values["clientid"]);

        // Check if user can access the client account.

     }
  }

答案 2 :(得分:1)

您可以使用以下代码从自定义授权属性访问查询字符串值:

public class ApiAuthorizationFilter : AuthorizeAttribute
{
    protected override void OnAuthorization(AuthorizationContext filterContext)
    {
        var querystring = filterContext.RequestContext.HttpContext.Request.QueryString;
        // Do what you need
    }
}

答案 3 :(得分:0)

虽然这个问题已经得到解答。但是如果其他人需要它,你可以从ActionFilterAttribute获取查询字符串,如下所示:

public class ApiAuthorizationActionFilter : ActionFilterAttribute
{
    public override void OnActionExecuting(HttpActionContext actionContext)
    {
        var queryParameters = actionContext.Request.GetQueryNameValuePairs().ToDictionary(x => x.Key, x => x.Value);

        var some_value = queryParameters.ContainsKey("some_key")
                    ? queryParameters["some_key"] : string.Empty;

        // Log Action Filter call
        base.OnActionExecuting(actionContext);
    }
}

但通常我如何构建API授权是通过向用户/客户端等添加密钥(唯一字符串)来使用标头和自定义验证逻辑。

public class ApiAuthorizationActionFilter : ActionFilterAttribute
{
    public override void OnActionExecuting(HttpActionContext actionContext)
    {
        var headers = actionContext.Request.Headers.ToDictionary(x => x.Key, x => x.Value);

        string api_key = headers.ContainsKey("api_key") ? headers["api_key"].FirstOrDefault() : null;

        bool canAccessApi = IsValidKey(api_key);

        if (!canAccessApi)
            actionContext.Response = actionContext.Request.CreateErrorResponse(HttpStatusCode.Unauthorized, "You do not have access to this API. Please use a valid key.");

        // Log Action Filter call
        base.OnActionExecuting(actionContext);
    }

    private bool IsValidKey(string api_key)
    {
        //Build Access Control Logic here using database keys...
        return true;
    }
}

答案 4 :(得分:-2)

您应该可以从actionContext.Request获取此信息 这是获取请求数据的方法。

发布的数据位于actionContext.Request.Content 或者如果它是GET请求,您可以从actionContext.Request.RequestUri

获取查询字符串
相关问题
最新问题