我需要使用活动目录中的一个或多个特定用户保护我的web api,在web.config中我有以下代码:
<configSections>
<section name="entityFramework" type="System.Data.Entity.Internal.ConfigFile.EntityFrameworkSection, EntityFramework, Version=6.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089" requirePermission="false" />
<section name="users" type="System.Configuration.NameValueFileSectionHandler,System, Version=1.0.3300.0, Culture=neutral, PublicKeyToken=b77a5c561934e089" />
</configSections>
<users>
<add key="user" value="domain\loginname" />
</users>
<system.web>
<authentication mode="Windows" />
<compilation debug="true" targetFramework="4.5" />
<httpRuntime targetFramework="4.5" />
</system.web>
然后我有一个自定义authorize属性,它从上面显示的web.config部分读取用户。
public class MyAuthorizeAttribute : AuthorizeAttribute
{
public MyAuthorizeAttribute(params string[] userKeys)
{
List<string> users = new List<string>(userKeys.Length);
var allUsers = (NameValueCollection)ConfigurationManager.GetSection("users");
foreach (var userKey in userKeys)
{
users.Add(allUsers[userKey]);
}
this.Users = string.Join(",", users);
}
protected override bool AuthorizeCore(HttpContextBase httpContext)
{
bool isAuthorized = base.AuthorizeCore(httpContext);
bool isRequestHeaderOk = false;
return isAuthorized && isRequestHeaderOk;
}
}
问题是Authorize Core永远不会在调试器中被命中,即使我输入了一个硬编码的false,浏览器中的JSON也会一直显示,断点永远不会被击中。
然后我用自定义授权属性
装饰我的控制器[MyAuthorize("user")]
[ResponseType(typeof(tblCargo))]
public IHttpActionResult GettblCargosByActivo()
{
var query = from c in db.tblCargos
orderby c.strCargo
select c;
//var result = Newtonsoft.Json.JsonConvert.SerializeObject(query);
//return result;
return Ok(query);
}
在IIS中,唯一启用的方法是Windows身份验证
当我从另一台计算机浏览到该站点时,我获得了身份验证窗口,但上面显示的authoze方法从未被命中。
这是一个很好的帖子,引导我走向正确的方向(我相信) Custom Authorization in Asp.net WebApi - what a mess?
答案 0 :(得分:4)
AuthorizeAttribute
而不是System.Web.Http
System.Web.Mvc
IsAuthorized
。protected override bool IsAuthorized(HttpActionContext actionContext)
{
bool isAuthorized = base.IsAuthorized(actionContext);
bool isRequestHeaderOk = false;
return isAuthorized && isRequestHeaderOk;
}
答案 1 :(得分:0)
在我的情况下,在重构时,我的控制器类不再扩展ApiController。这对我的过滤器来说是必要的。