我一直在学习如何保护asp.net MVC4应用程序,但有些事情使我对使用 AuthorizeAttribute
感到困惑(其中一个很好地解释了保护MVC的博客是this one)
要默认锁定所有控制器, AuthorizeAttribute 会添加到 RegisterGlobalFilters
public static void RegisterGlobalFilters(GlobalFilterCollection filters)
{
filters.Add(new HandleErrorAttribute());
filters.Add(new System.Web.Mvc.AuthorizeAttribute());
}
但是我也看到了在global.asax文件中做类似事情的例子:
GlobalConfiguration.Configuration.Filters.Add(new System.Web.Http.AuthorizeAttribute());
据我所知,第一个语句是锁定MVC控制器,第二个是锁定WebAPI控制器,但何时需要第二个语句?如果我不构建WebApi控制器,第二个声明是否仍然必要?
答案 0 :(得分:1)
据我所知,第一个声明是锁定MVC控制器,第二个是锁定WebAPI控制器....如果我不构建WebApi控制器,第二个声明是否还需要?
我认为这是其中一个问题,在内心深处,你知道答案,但想要一个明确的答案....所以这里是 - 不。