我目前正在使用MVC 4 Web API项目类型开发Web API。我目前处于需要为API添加一些安全性的阶段。我知道Authorize属性,但是,客户端更喜欢不同的方法。 为此,我试图覆盖我自己的类中的Authorize属性,作为一个基本的开始,我只是让AuthorizeCore总是返回false,这应该意味着没有经过身份验证。如果我然后将其添加到控制器中的Action,则操作始终完成,并且我始终检索数据。 我认为原因可能是由于自定义属性未在web.config文件中注册,但是,我不确定如何在不使用表单身份验证时进行此操作。
我用来测试的代码是一个全新的MVC 4 Web API项目,其自定义属性如下所示。
public class Auth : AuthorizeAttribute
{
protected override bool AuthorizeCore(HttpContextBase httpContext)
{
return false;
}
protected override void HandleUnauthorizedRequest(AuthorizationContext filterContext)
{
filterContext.Result = new RedirectResult("http://www.google.com");
}
}
然后我将该属性添加到默认ValuesController的Get方法中
[Auth]
public IEnumerable<string> Get()
然而,当我导航到domain / api / Values时,我总是会看到数据,而不是预期的重定向谷歌。任何帮助表示赞赏。
编辑:经过四处查看之后我在这里找到了这个:http://weblogs.asp.net/jgalloway/archive/2012/05/04/asp-net-mvc-authentication-customizing-authentication-and-authorization-the-right-way.aspx这表明我选择了错误的AuthorizeAttribute类,因为我从System.Web.MVC中选择了一个而不是System中的那个。 Web.Http。似乎Http版本不允许与MVC版本相同级别的配置,因为它不允许我覆盖AuthorizeCore。对此有任何帮助表示赞赏。
答案 0 :(得分:9)
问题似乎是由使用错误版本的AuthorizeAttribute引起的。使用System.Web.Http中找到的版本后,如果用户没有所需的权限,代码将返回正确的错误代码。作为一个例子,这里是我在原始问题中的等价代码
using System;
using System.Web.Http;
using System.Net.Http;
public class AuthAttribute : AuthorizeAttribute
{
public override void OnAuthorization(System.Web.Http.Controllers.HttpActionContext actionContext)
{
HandleUnauthorizedRequest(actionContext);
}
protected override void HandleUnauthorizedRequest(System.Web.Http.Controllers.HttpActionContext actionContext)
{
var response = actionContext.Request.CreateResponse(System.Net.HttpStatusCode.Redirect);
response.Headers.Add("Location", "http://www.google.com");
actionContext.Response = response;
}
}
答案 1 :(得分:3)
对于WebApi,您可以通过在覆盖中指定它来强制它覆盖正确的AuthorizeAttribute类。此外,进行重定向没有意义,这只会返回未经授权的Web响应,这对于API来说是合适的。
namespace WebApiTest
{
public class Auth : System.Web.Http.AuthorizeAttribute
{
protected override bool IsAuthorized(System.Web.Http.Controllers.HttpActionContext actionContext)
{
return false;
}
}
}