ASP.NET Web API覆盖处理程序

时间:2016-04-11 21:08:27

标签: c# asp.net authorization asp.net-web-api2 authorize-attribute

如何在Web API中禁用特定GET处理程序的授权过滤器?

在类级别上有一个自定义授权过滤器,但对于其中一种方法,我需要没有安全性。我尝试应用[AllowAnonymous]属性,但它仍然通过更高级别的过滤器运行并失败。该自定义过滤器源自AuthorizationFilterAttribute。该类还有另外两个属性:OverrideAuthenticationEnableCors

我尝试了AllowAnonymous属性,但事实并非如此。

示例代码:

[EnableCors(origins: "*", headers: "*", methods: "*")]
[OverrideAuthentication]
[AccountAuthorization]
public class AccountsController : ApiController
{

    [Route("api/accounts/{accountNumber}/GetX")]
    [AllowAnonymous]
    [HttpGet]
    public HttpResponseMessage GetX(string accountNumber)
    {
        HttpResponseMessage response = null;
        IEnumerable<string> apiKey;
        if (!Request.Headers.TryGetValues("X-ApiKey", out apiKey) || apiKey.Count() != 1 || apiKey.First() != API_KEY)
        {
            throw new HttpResponseException(HttpStatusCode.Forbidden);
        }

        // Process
        // ..
        // ..

        return response;
    }
}

编辑:链接的答案并未解释解决方案的原因。

1 个答案:

答案 0 :(得分:3)

最后想出来。

因为类/控制器级别上已经存在自定义授权过滤器,因此,要覆盖特定的操作处理程序(方法)并使其在没有任何授权过滤器的情况下工作,我们需要覆盖控制器上的过滤器/班级。因此添加OverrideAuthorization过滤器就可以了。现在AllowAnonymous将发挥它的魔力。 

[Route("api/accounts/{accountNumber}/GetX")]
[AllowAnonymous]
[OverrideAuthorization]
[HttpGet]
public HttpResponseMessage GetX(string accountNumber)
{
    // Process     
    // ..
    // ..
}
相关问题
最新问题