代码之家 › 专栏 › 技术社区 › jgauffin

自定义授权

authorization asp.net-mvc

jgauffin · 技术社区 · 15 年前

我试图通过创建一个基本控制器来使用我自己的授权,并重写OnAuthorization方法。

当授权失败时,它可以正常工作,但是当我的检查成功时,我会得到一个401页(但是默认的授权检查失败)。

    protected override void OnAuthorization(AuthorizationContext filterContext)
    {
        var roleAttribute = typeof(AuthorizeAttribute);
        var attributes = filterContext.ActionDescriptor.GetCustomAttributes(roleAttribute, true);
        if (attributes.Length == 0)
            attributes = GetType().GetCustomAttributes(roleAttribute, true);
        if (attributes.Length == 0)
            return;

        MvcHelper.Authenticate();


        foreach (AuthorizeAttribute item in attributes)
        {
            if (!Thread.CurrentPrincipal.IsInRole(item.Roles))
            {
                filterContext.Result = new RedirectResult("~/Error/Unauthorized/" + "?MissingRole=" + item.Roles);
                return;
            }
        }

        //how do I prevent the default authorization here?
    }

我试过了 filterContext.HttpContext.SkipAuthorization = true; 但没用。

2 回复 | 直到 15 年前

Anuj 14 年前

我通常在ActionFilter中这样做: https://gist.github.com/e297b435ceb8f022fb95

public override void OnActionExecuting(ActionExecutingContext filterContext)
{
    if (filterContext == null)
        throw new ArgumentNullException("FilterContext");

    if (AuthProvider == null)
        throw new ArgumentNullException("IAuthProvider");

    if (AuthProvider.Authenticate(filterContext) == false)
    {
        var req = filterContext.HttpContext.Request;

        var response = filterContext.HttpContext.Response;
        response.StatusCode = 401;
        response.AddHeader("WWW-Authenticate", "Basic realm=\"Emergidata\"");
        response.End();
    }
    else
    {
        var controller = filterContext.Controller as IAppController;
        controller.DynamicSession= AuthProvider.AuthProviderContext;
    }
}

Tomas Jansson 14 年前

首先,我将保护整个应用程序,因此您必须明确列出那些应该对匿名用户可用的控制器,请阅读上的“LogonAuthorize过滤器方法的限制”一节 http://blogs.msdn.com/b/rickandy/archive/2011/05/02/securing-your-asp-net-mvc-3-application.aspx . 这里有一个全局应用的过滤器,用于限制对应用程序的访问;还有一个属性,用于允许匿名访问的操作。
下一步是实现另一个过滤器,应用于那些希望用户具有特定角色或能力的操作。此筛选器将继承自 AuthorizeAttribute

推荐文章

Andrus · 如何在Linux中阅读期刊

1 年前

Miranda · 读取xml文件时路径错误中有非法字符

1 年前

Hiroco · 传递到ViewDataDictionary的模型项的类型为“x”,但此ViewDataDictionary实例需要类型为“y”的模型项

1 年前

Vengat Ramanan · 用户登录Asp时隐藏导航和页脚。网络核心

1 年前

s15199d · mvc MapController路由/类别名称在这里

1 年前

anathan · 当我尝试在调试模式下运行时,我得到状态代码500,而代码中没有错误

1 年前

Primdonm · 如何将自定义列表中的字符串值格式化为货币格式?

1 年前

Kiryl · Sitecore中自己的控制器

1 年前

Farid · 如何从数据库中填充Resource.resx文件值?

2 年前

mag232913 · 在一个项目中有两个launchsettings.json文件

2 年前