我有一个像这样的控制器:
[Authorize(Users="Admin")]
public class MyController : Controller
{
...
[AllowAnonymous]
public AllUsersAction()
{
}
}
除了我确实想要授权AllUsersAction之外,只有所有授权用户都应该能够点击它,而不仅仅是管理员。
怎么办?
编辑:我知道我可以授权整个控制器,并为Admin只能使用的所有操作提供更多限制。但我宁愿不把属性放在每一个动作上,只有一个。
问题可以更好地表达:如果目前不可能实现这种“极简主义”,那么实现会是什么样的?
答案 0 :(得分:12)
使用不带控制器参数的Authorize属性:
void didReceiveRemoteNotification (UIApplication application, NSDictionary userInfo, Action<UIBackgroundFetchResult> completionHandler)
{
if([content-available]) {
// fetch content methods here
completionHandler (UIBackgroundFetchResult.NewData);
}
if ( application.applicationState == UIApplicationStateInactive || application.applicationState == UIApplicationStateBackground )
{
//restore push
[[NSNotificationCenter defaultCenter] postNotificationName:@"appRestorePush" object:nil];
}
else {
//push for when the app is open
self.pushString = [[userInfo objectForKey:@"aps"] objectForKey:@"alert"];
[[NSNotificationCenter defaultCenter] postNotificationName:@"appOpenPush" object:nil];
}
}
并为受限操作指定授权属性角色/用户属性。
不幸的是,只有当action具有AllowAnonymous属性时,控制器上的Authorize属性才会绕过授权。幸运的是,如果action有自己的Authorize属性,你可以覆盖Authorize属性的OnAuthorization方法以跳过控制器授权属性:
[Authorize]
public class MyController : Controller
{
...
public AllUsersAction()
{
}
[Authorize(Users="Admin")]
public ActionResult OnlyForAdmin()
{
}
}
您可以在示例中使用此CustomAuthorize:
public class CustomAuthorize : AuthorizeAttribute
{
public override void OnAuthorization(AuthorizationContext filterContext)
{
if(filterContext.ActionDescriptor.IsDefined(typeof(AuthorizeAttribute), true))
{
//skip authorization check if action has Authorize attribute
return;
}
base.OnAuthorization(filterContext);
}
}