个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
25
4
我正在阅读有关 WebApi 授权的多种资源(书籍和 SO 答案)。
假设我想添加仅允许某些用户访问的自定义属性:
案例#1
我见过这种重写 OnAuthorization 的方法,如果出现问题,它会设置响应
public class AllowOnlyCertainUsers : AuthorizeAttribute
{
public override void OnAuthorization(HttpActionContext actionContext)
{
if ( /*check if user OK or not*/)
{
actionContext.Response = new HttpResponseMessage(HttpStatusCode.Unauthorized);
}
}
}
案例#2
但我也看到过这个类似的示例,它也重写了 OnAuthorization 但调用了 base :
public override void OnAuthorization(HttpActionContext actionContext)
{
base.OnAuthorization(actionContext);
// If not authorized at all, don't bother
if (actionContext.Response == null)
{
//...
}
}
然后,您检查是否HttpActionContext.Response 是否设置。如果没有设置,则表示请求已授权,用户ok
案例#3
但我也看到了这种覆盖 IsAuthorized 的方法:
public class AllowOnlyCertainUsers : AuthorizeAttribute
{
protected override bool IsAuthorized(HttpActionContext context)
{
if ( /*check if user OK or not*/)
{
return true;// or false
}
}
}
案例#4
然后我看到了类似的示例,但调用了 base.IsAuthorized(context) :
protected override bool IsAuthorized(HttpActionContext context)
{
if (something1 && something2 && base.IsAuthorized(context)) //??
return true;
return false;
}
还有一件事
最后多米尼克说here :
您不应该重写 OnAuthorization - 因为您会缺少 [AllowAnonymous] 处理。
问题
1) 我应该使用哪些方法:IsAuthorized 或 OnAuthorization? (或何时使用哪个)
2) 我什么时候应该调用 base.IsAuthorized 或 base.OnAuthorization` ?
3) 他们就是这样 build 的吗?如果响应为空那么一切都好? (案例#2)
注意
请注意,我仅使用(并且想要使用)已经继承自 AuthorizationFilterAttribute 的 AuthorizeAttribute
为什么?
因为我处于第一阶段:http://www.asp.net/web-api/overview/security/authentication-and-authorization-in-aspnet-web-api
无论如何,我通过扩展授权属性来询问。
最佳答案
Which methods should I use : IsAuthorized or OnAuthorization ? ( or when to use which)
如果您的授权逻辑不依赖于已建立的身份和角色,您将扩展AuthorizationFilterAttribute。对于用户相关的授权,您将扩展并使用AuthorizeAttribute。对于前一种情况,您将重写OnAuthorization。对于后一种情况,您将覆盖 IsAuthorized。正如您从这些属性的源代码中看到的,如果您从 AuthorizationFilterAttribute 派生,则 OnAuthorization 被标记为虚拟,以便您覆盖。另一方面,IsAuthorized 方法在 AuthorizeAttribute 中被标记为虚拟。我相信这是一个很好的指向预期用途的指针。
when should I call base.IsAuthorized or base.OnAuthorization?
这个问题的答案在于面向对象的一般工作方式。如果您重写一个方法,您可以完全提供一个新的实现,也可以利用父级提供的实现来增强行为。例如,以 IsAuthorized(HttpActionContext) 为例。基类行为是根据过滤器中指定的内容与建立的身份来检查用户/角色。比如说,您想要执行所有这些操作,但除此之外,您还想检查其他内容,可能基于请求 header 或其他内容。在这种情况下,您可以提供这样的覆盖。
protected override bool IsAuthorized(HttpActionContext actionContext)
{
bool isAuthroized = base.IsAuthorized(actionContext);
// Here you look at the header and do your additional stuff based on actionContext
// and store the result in isRequestHeaderOk
// Then, you can combine the results
// return isAuthorized && isRequestHeaderOk;
}
很抱歉,我不明白你的问题 3。顺便说一句,授权过滤器已经存在很长时间了,人们将它用于各种各样的事情,有时甚至是错误的。
One more thing. And finally there was this guy here who said : You shouldn't override OnAuthorization - because you would be missing [AllowAnonymous] handling.
说这句话的人就是访问控制之神——多米尼克。显然这是正确的。如果您查看 OnAuthorization 的实现(复制如下),
public override void OnAuthorization(HttpActionContext actionContext)
{
if (actionContext == null)
{
throw Error.ArgumentNull("actionContext");
}
if (SkipAuthorization(actionContext))
{
return;
}
if (!IsAuthorized(actionContext))
{
HandleUnauthorizedRequest(actionContext);
}
}
对 SkipAuthorization 的调用是确保应用 AllowAnonymous 过滤器的部分,即跳过授权。如果您重写此方法,您就会失去该行为。实际上,如果您决定将授权基于用户/角色,那么您就决定从 AuthorizeAttribute 派生。此时留给您的唯一正确选择是覆盖 IsAuthorized 而不是已经覆盖的 OnAuthorization,尽管从技术上来说这两者都是可行的。
关于asp.net - Asp.net WebApi 中的自定义授权 - 一团糟?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/26464848/
25
4
0
我知道这听起来很烦人,但有时感觉 Android 的 UI 组件和行为有些离谱。 考虑以下 XML: 在不同尺寸的设备上显示效果的屏幕截图: Nexus S 评分栏 平板电脑评分栏 小型
我之前在我的系统上安装了 ruby 1.8.7。有一段时间我安装了 rvm。从那时起,就有了一个巨大的困惑。例如,尝试启动 Sinatra 服务器会导致: /home/yoni/.rvm/rubi
因此 Google 采用: http://www.mysite.com/mypage/#!pageState 并将其转换为: http://www.mysite.com/mypage/?_escape
我有一个可能非常简单的问题,我无法在 Zend Framework 手册或其他地方找到令人满意的(主观上看到的)答案... 我可以通过多种方式将我的 php 变量移交给我的 sql 查询,以至于我失去
我是一名网络开发新手,希望有更多经验的人可以提供帮助。 I'm red on hover I'm red on hover html, body
我正在阅读有关 WebApi 授权的多种资源(书籍和 SO 答案)。 假设我想添加仅允许某些用户访问的自定义属性: 案例#1 我见过这种重写 OnAuthorization 的方法,如果出现问题,它会
我有一个包含 2 个 fragment 的 Activity 。我决定使用 PageAdapter 在两个 View 之间滑动,但是,为了接近 android 设计最佳实践,我还决定使用操作栏选项卡(
有人可以向我解释一下 python 在 ubuntu 9.04 中发生了什么吗? 我正在尝试启动 virtualenv,而 --no-site-packages 标志似乎对 ubuntu 没有任何作用
我是一名优秀的程序员,十分优秀!