WebApi自定义授权属性不起作用

时间:2016-02-16 01:19:15

标签: c# asp.net-mvc asp.net-web-api

我需要使用活动目录中的一个或多个特定用户保护我的web api,在web.config中我有以下代码:

<configSections> 
    <section name="entityFramework" type="System.Data.Entity.Internal.ConfigFile.EntityFrameworkSection, EntityFramework, Version=6.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089" requirePermission="false" />

    <section name="users" type="System.Configuration.NameValueFileSectionHandler,System, Version=1.0.3300.0, Culture=neutral, PublicKeyToken=b77a5c561934e089" />

  </configSections> 
  <users> 
    <add key="user" value="domain\loginname" /> 
  </users> 
  <system.web> 
    <authentication mode="Windows" /> 
    <compilation debug="true" targetFramework="4.5" /> 
    <httpRuntime targetFramework="4.5" /> 
  </system.web>

然后我有一个自定义authorize属性,它从上面显示的web.config部分读取用户。

public class MyAuthorizeAttribute : AuthorizeAttribute
    {

        public MyAuthorizeAttribute(params string[] userKeys)
        {
            List<string> users = new List<string>(userKeys.Length); 
            var allUsers = (NameValueCollection)ConfigurationManager.GetSection("users");
            foreach (var userKey in userKeys)
            {
                users.Add(allUsers[userKey]);
            }

            this.Users = string.Join(",", users);
        }

        protected override bool AuthorizeCore(HttpContextBase httpContext)
        {
            bool isAuthorized = base.AuthorizeCore(httpContext);
            bool isRequestHeaderOk = false;
            return isAuthorized && isRequestHeaderOk;
        }
    }

问题是Authorize Core永远不会在调试器中被命中,即使我输入了一个硬编码的false,浏览器中的JSON也会一直显示,断点永远不会被击中。

然后我用自定义授权属性

装饰我的控制器
[MyAuthorize("user")]
        [ResponseType(typeof(tblCargo))]
        public IHttpActionResult GettblCargosByActivo()
        {
            var query = from c in db.tblCargos
                        orderby c.strCargo
                        select c;

            //var result = Newtonsoft.Json.JsonConvert.SerializeObject(query);
            //return result;

            return Ok(query);
        }

在IIS中,唯一启用的方法是Windows身份验证

当我从另一台计算机浏览到该站点时,我获得了身份验证窗口,但上面显示的authoze方法从未被命中。

这是一个很好的帖子,引导我走向正确的方向(我相信) Custom Authorization in Asp.net WebApi - what a mess?

2 个答案:

答案 0 :(得分:4)

  1. 您应该在AuthorizeAttribute而不是System.Web.Http
  2. 中使用System.Web.Mvc
  3. 改为实施IsAuthorized
  4. protected override bool IsAuthorized(HttpActionContext actionContext)
        {
            bool isAuthorized = base.IsAuthorized(actionContext);
            bool isRequestHeaderOk = false;
            return isAuthorized && isRequestHeaderOk;
        }
    

答案 1 :(得分:0)

在我的情况下,在重构时,我的控制器类不再扩展ApiController。这对我的过滤器来说是必要的。