- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我正在阅读有关 WebApi 授权的多种资源(书籍和 SO 答案)。
假设我想添加仅允许某些用户访问的自定义属性:
案例#1
我见过这种重写 OnAuthorization
的方法,如果出现问题,它会设置响应
public class AllowOnlyCertainUsers : AuthorizeAttribute
{
public override void OnAuthorization(HttpActionContext actionContext)
{
if ( /*check if user OK or not*/)
{
actionContext.Response = new HttpResponseMessage(HttpStatusCode.Unauthorized);
}
}
}
案例#2
但我也看到过这个类似的示例,它也重写了 OnAuthorization
但调用了 base
:
public override void OnAuthorization(HttpActionContext actionContext)
{
base.OnAuthorization(actionContext);
// If not authorized at all, don't bother
if (actionContext.Response == null)
{
//...
}
}
然后,您检查是否HttpActionContext.Response
是否设置。如果没有设置,则表示请求已授权,用户ok
案例#3
但我也看到了这种覆盖 IsAuthorized
的方法:
public class AllowOnlyCertainUsers : AuthorizeAttribute
{
protected override bool IsAuthorized(HttpActionContext context)
{
if ( /*check if user OK or not*/)
{
return true;// or false
}
}
}
案例#4
然后我看到了类似的示例,但调用了 base.IsAuthorized(context) :
protected override bool IsAuthorized(HttpActionContext context)
{
if (something1 && something2 && base.IsAuthorized(context)) //??
return true;
return false;
}
还有一件事
最后多米尼克说here :
您不应该重写 OnAuthorization - 因为您会缺少 [AllowAnonymous] 处理。
问题
1) 我应该使用哪些方法:IsAuthorized
或 OnAuthorization
? (或何时使用哪个)
2) 我什么时候应该调用 base.IsAuthorized 或
base.OnAuthorization` ?
3) 他们就是这样 build 的吗?如果响应为空那么一切都好? (案例#2)
注意
请注意,我仅使用(并且想要使用)已经继承自 AuthorizationFilterAttribute
的 AuthorizeAttribute
为什么?
因为我处于第一阶段:http://www.asp.net/web-api/overview/security/authentication-and-authorization-in-aspnet-web-api
无论如何,我通过扩展授权属性来询问。
最佳答案
Which methods should I use : IsAuthorized or OnAuthorization ? ( or when to use which)
如果您的授权逻辑不依赖于已建立的身份和角色,您将扩展AuthorizationFilterAttribute
。对于用户相关的授权,您将扩展并使用AuthorizeAttribute
。对于前一种情况,您将重写OnAuthorization
。对于后一种情况,您将覆盖 IsAuthorized
。正如您从这些属性的源代码中看到的,如果您从 AuthorizationFilterAttribute
派生,则 OnAuthorization
被标记为虚拟,以便您覆盖。另一方面,IsAuthorized
方法在 AuthorizeAttribute
中被标记为虚拟。我相信这是一个很好的指向预期用途的指针。
when should I call base.IsAuthorized or base.OnAuthorization?
这个问题的答案在于面向对象的一般工作方式。如果您重写一个方法,您可以完全提供一个新的实现,也可以利用父级提供的实现来增强行为。例如,以 IsAuthorized(HttpActionContext)
为例。基类行为是根据过滤器中指定的内容与建立的身份来检查用户/角色。比如说,您想要执行所有这些操作,但除此之外,您还想检查其他内容,可能基于请求 header 或其他内容。在这种情况下,您可以提供这样的覆盖。
protected override bool IsAuthorized(HttpActionContext actionContext)
{
bool isAuthroized = base.IsAuthorized(actionContext);
// Here you look at the header and do your additional stuff based on actionContext
// and store the result in isRequestHeaderOk
// Then, you can combine the results
// return isAuthorized && isRequestHeaderOk;
}
很抱歉,我不明白你的问题 3。顺便说一句,授权过滤器已经存在很长时间了,人们将它用于各种各样的事情,有时甚至是错误的。
One more thing. And finally there was this guy here who said : You shouldn't override OnAuthorization - because you would be missing [AllowAnonymous] handling.
说这句话的人就是访问控制之神——多米尼克。显然这是正确的。如果您查看 OnAuthorization
的实现(复制如下),
public override void OnAuthorization(HttpActionContext actionContext)
{
if (actionContext == null)
{
throw Error.ArgumentNull("actionContext");
}
if (SkipAuthorization(actionContext))
{
return;
}
if (!IsAuthorized(actionContext))
{
HandleUnauthorizedRequest(actionContext);
}
}
对 SkipAuthorization
的调用是确保应用 AllowAnonymous
过滤器的部分,即跳过授权。如果您重写此方法,您就会失去该行为。实际上,如果您决定将授权基于用户/角色,那么您就决定从 AuthorizeAttribute
派生。此时留给您的唯一正确选择是覆盖 IsAuthorized
而不是已经覆盖的 OnAuthorization
,尽管从技术上来说这两者都是可行的。
关于asp.net - Asp.net WebApi 中的自定义授权 - 一团糟?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/26464848/
我想为我的 ABP 项目中的特定应用程序服务关闭自动 WebAPI 生成服务。 最佳答案 RemoteService 属性可用于将类标记为远程服务或禁用固有地实现 IRemoteService 接口(
我无法从 postman 访问 webapi 错误是下一个: 如您所见,没有授权。 valuescontroller.cs 是: namespace CVService.Controllers {
我无法从 postman 访问 webapi 错误是下一个: 如您所见,没有授权。 valuescontroller.cs 是: namespace CVService.Controllers {
我有以下 Controller ,它应该接受用户名和密码作为 POST 中的有效负载。如果我将其更改为 HttpGet 就可以了。 [RoutePrefix("api")] public class
使用以下路线: routes.MapHttpRoute( name: "Set", routeTemplate: "api/set/{id}",
我正在使用 AngularJS,我正在尝试将 json 从我的服务发送到 webAPI Controller 。当我通过发送时,我在 webApi 函数的参数中收到 null。 我的功能服务是: an
据我了解,如果我有一个 ASP.NET WebApi 方法,其签名如下所示...... public HttpResponseMessage PostCustomer(Customer custome
我遇到了一个解决方案问题,我使用 Visual Studio SPA 模板中的部分在具有 Oauth 身份验证的 WebApi 中拥有帐户 Controller 。 app.UseOAuthBea
我按照此处的说明将 webApi.HelpPage 区域和 View 添加到使用 structureMap 的现有项目中 - 但是在访问/Help url 时: StructureMap Except
我有一个 WebAPI。如何返回并打开网页。例如,我想打开 CNN.com 页面。 [HttpGet] public HttpResponseMessage Get()
我想知道是否有人可以澄清这一点。我发现用法令人困惑。 链接和视频都没有回答我的问题 我知道像这样的链接 asp.net core middleware vs filters 甚至还有关于它的视频 但是
运行以下最新版本(在撰写本文时): Visual Studio 2019 16.4.5 .NET 核心 SDK 3.1.102 x64 测试的浏览器: 谷歌浏览器 80.0.3987.122 火狐 7
想法是,将有一个外部实体 (SharePoint) 调用我的 WebAPI 并传入 PDF 文件以及有关该 PDF 文件的一些额外元数据信息。我被困在如何构造 Web API 方法的签名上。这是我到目
我有一个 WebApi 服务处理来自简单表单的上传,如下所示: 但是,我不知道如何使用 HttpClient API 模拟同一
嗨,我是 Angular 的新手,现在我从一个示例登录页面开始,该页面传递包含用户名和密码的 userEntity。userEntity 是一个对象/实体是 webapi。 问题:当我为登录按钮单击
我有一个 AngularJS + MVC + WebAPI,我正在尝试:- 使用标准(个人账户)进行MVC认证;- 使用相同的用户和密码进行基于 WebAPI 的身份验证。 问题,AngularJS
Web API 的版本存在一些混淆。看看这个 Web API at NuGet , Microsoft ASP.NET Web API 2.2 5.2.3 什么?这里是没有提到 2.2 的描述 我的猜
我正在开发一个 Web 应用程序,该应用程序将 Owin 托管用于 MVC 和 WebApi 2。 我最近将 Microsoft Mvc/WebApi 包从 5.2.2 版升级到 5.2.3 版,将
随着Web技术的发展,现在各种框架,前端的,后端的,数不胜数。全栈工程师的压力越来越大。 现在的前端的框架,既可以做各种Web,又可以做各种APP,前端框架更新换代越来越快,越来越多。 传统的模
1. WebAPI 背景知识 1.1 什么是 WebAPI JS 分成三个大的部分: ECMAScript: 基础语法部分 DOM API: 操作页面结构 BOM API: 操作浏览器 WebAPI
我是一名优秀的程序员,十分优秀!