在ASP.NET MVC 5中,我们可以使用[Authorize]属性来检查授权并限制对某些操作\页面的访问。 我想知道如何修改此属性 - 应在一段时间后检查授权?
例如,让未经授权的用户在10分钟内查看该页面,然后阻止访问。
更新:似乎我的问题并不清楚所以我加粗了这个问题。我需要计算每个未经授权的用户在网站上花费的时间,然后在N分钟后阻止他。
答案 0 :(得分:11)
您可以实施自定义授权,允许在有限的时间内进行匿名浏览,如下所示:
public class AuthorizeAttributeWithAnonTimeoutAttribute : AuthorizeAttribute
{
public int? AnonymousMinutesTimeout { get; set; }
public override void OnAuthorization(AuthorizationContext filterContext)
{
// Let default handling occurs
base.OnAuthorization(filterContext);
// If result is set, authorization has already been denied,
// nothing more to do.
if (filterContext.Result as HttpUnauthorizedResult != null)
return;
var isAnonAllowed = filterContext.ActionDescriptor.IsDefined(
typeof(AllowAnonymousAttribute), true) ||
filterContext.ActionDescriptor.ControllerDescriptor.IsDefined(
typeof(AllowAnonymousAttribute), true);
if (isAnonAllowed && AnonymousMinutesTimeout.HasValue &&
// Not authorized
!AuthorizeCore(filterContext.HttpContext))
{
const string visitStartCookieName = "visitStartCookie";
const string visitStartDateFormat = "yyyyMMddhhmmss";
var visitStartCookie = filterContext.HttpContext.Request
.Cookies[visitStartCookieName];
var now = DateTime.UtcNow;
DateTime visitStartDate;
var visitStartCookieValid = visitStartCookie != null &&
DateTime.TryParseExact(visitStartCookie.Value,
visitStartDateFormat, null, DateTimeStyles.AssumeUniversal,
out visitStartDate);
if (!visitStartCookieValid)
{
visitStartDate = now;
filterContext.HttpContext.Response.Cookies.Add(
// Session cookie. (Need to set an expiry date if
// a "permanent" cookie is wished instead.)
new HttpCookie
{
Name = "visitStartCookie",
Value = now.ToString(visitStartDateFormat)
});
}
if (visitStartDate.AddMinutes(AnonymousMinutesTimeout.Value) < now)
{
// Anonymous visit timed out
HandleUnauthorizedRequest(filterContext);
return;
}
}
}
}
然后,如果它适合您,请将其用作全局过滤器,如下所示:
public static void RegisterGlobalFilters(GlobalFilterCollection filters)
{
filters.Add(
new AuthorizeAttributeWithAnonTimeoutAttribute
{
// By example, 10 minutes
AnonymousMinutesTimeout = 10
});
// Your other filters
...
}
不要忘记使用AllowAnonymousAttribute装饰您的控制器或操作:
[AllowAnonymous]
public class YourController
{
}
或者
public class YourController
{
[AllowAnonymous]
public ActionResult YourAction()
{
}
}
如果全局定义不适合您,您也可以将自定义授权属性直接放在控制器或操作上:
// By example, 10 minutes anonymous browsing allowed.
[AuthorizeAttributeWithAnonTimeout(AnonymousMinutesTimeout = 10)]
public class YourController
{
}
请注意,此实现不保护匿名超时。只要他愿意,黑客就可以克服它并匿名浏览。浏览器工具允许删除cookie,因此很容易以新的超时开始 我的例子也只是设置了一个会话cookie,关闭/重新打开浏览器就会消失。当然,使用其他浏览器或设备将允许再使用10分钟。
保护匿名超时非常困难,因为您的用户是匿名的。您可以尝试从他们的技术特征中识别您的匿名用户,然后跟踪他们的超时服务器端 但是,您可能会遇到很多问题:企业用户使用相同的IP地址浏览,或者在不同的IP之间切换,因为他们没有单一的Internet连接,...
答案 1 :(得分:2)
这样的东西?创建您自己的属性并使用您自己的代码覆盖默认值。
public class CustomAuthAttribute : AuthorizeAttribute
{
public override void OnAuthorization(AuthorizationContext filterContext)
{
base.OnAuthorization(filterContext);
//your code here
}
}
然后用[CustomAuthAttribute]
装饰你的控制器/动作答案 2 :(得分:0)
下面我列举了一些使用AuthorizeAttribute
的地点和原因的示例1.检查授权并限制对操作的访问。
Example :
// Restrict unauthorized access:
[Authorize]
public ActionResult YourActionView()
{
return View();
}
// Restrict by user:
[Authorize(Users = "prashant,lua")]
public ActionResult YourActionView()
{
return View();
}
// Restrict by role:
[Authorize(Roles="Administrators")]
public ActionResult YourActionView()
{
return View();
}
2.检查授权并限制对控制器的访问。
// Restrict unauthorized access:
[Authorize]
public class ValuesController : ApiController
{
}
// Restrict by user:
[Authorize(Users="Prashant,Lua")]
public class ValuesController : ApiController
{
}
// Restrict by role:
[Authorize(Roles="Administrators")]
public class ValuesController : ApiController
{
}
答案 3 :(得分:0)
我认为Authorize属性旨在促进授权过程。如果您希望允许匿名用户在一段时间后查看您的站点并阻止访问,请考虑一些客户端脚本。