gpt4 book ai didi

asp.net - Asp.net WebApi 中的自定义授权 - 一团糟?

转载 作者:行者123 更新时间:2023-12-03 04:42:42 25 4
gpt4 key购买 nike

我正在阅读有关 WebApi 授权的多种资源(书籍和 SO 答案)。

假设我想添加仅允许某些用户访问的自定义属性:

案例#1

我见过这种重写 OnAuthorization 的方法,如果出现问题,它会设置响应

public class AllowOnlyCertainUsers : AuthorizeAttribute
{
public override void OnAuthorization(HttpActionContext actionContext)
{
if ( /*check if user OK or not*/)
{
actionContext.Response = new HttpResponseMessage(HttpStatusCode.Unauthorized);
}
}
}

案例#2

但我也看到过这个类似的示例,它也重写了 OnAuthorization 但调用了 base :

public override void OnAuthorization(HttpActionContext actionContext) 
{
base.OnAuthorization(actionContext);

// If not authorized at all, don't bother

if (actionContext.Response == null)
{
//...
}
}

然后,您检查是否HttpActionContext.Response 是否设置。如果没有设置,则表示请求已授权,用户ok

案例#3

但我也看到了这种覆盖 IsAuthorized 的方法:

public class AllowOnlyCertainUsers : AuthorizeAttribute
{
protected override bool IsAuthorized(HttpActionContext context)
{
if ( /*check if user OK or not*/)
{
return true;// or false
}
}
}

案例#4

然后我看到了类似的示例,但调用了 base.IsAuthorized(context) :

protected override bool IsAuthorized(HttpActionContext context)
{
if (something1 && something2 && base.IsAuthorized(context)) //??
return true;
return false;
}

还有一件事

最后多米尼克说here :

您不应该重写 OnAuthorization - 因为您会缺少 [AllowAnonymous] 处理。

问题

  • 1) 我应该使用哪些方法:IsAuthorizedOnAuthorization? (或何时使用哪个)

  • 2) 我什么时候应该调用 base.IsAuthorized 或 base.OnAuthorization` ?

  • 3) 他们就是这样 build 的吗?如果响应为空那么一切都好? (案例#2)

注意

请注意,我仅使用(并且想要使用)已经继承自 AuthorizationFilterAttributeAuthorizeAttribute

为什么?

因为我处于第一阶段:http://www.asp.net/web-api/overview/security/authentication-and-authorization-in-aspnet-web-api

enter image description here

无论如何,我通过扩展授权属性来询问。

最佳答案

Which methods should I use : IsAuthorized or OnAuthorization ? ( or when to use which)

如果您的授权逻辑不依赖于已建立的身份和角色,您将扩展AuthorizationFilterAttribute。对于用户相关的授权,您将扩展并使用AuthorizeAttribute。对于前一种情况,您将重写OnAuthorization。对于后一种情况,您将覆盖 IsAuthorized。正如您从这些属性的源代码中看到的,如果您从 AuthorizationFilterAttribute 派生,则 OnAuthorization 被标记为虚拟,以便您覆盖。另一方面,IsAuthorized 方法在 AuthorizeAttribute 中被标记为虚拟。我相信这是一个很好的指向预期用途的指针。

when should I call base.IsAuthorized or base.OnAuthorization?

这个问题的答案在于面向对象的一般工作方式。如果您重写一个方法,您可以完全提供一个新的实现,也可以利用父级提供的实现来增强行为。例如,以 IsAuthorized(HttpActionContext) 为例。基类行为是根据过滤器中指定的内容与建立的身份来检查用户/角色。比如说,您想要执行所有这些操作,但除此之外,您还想检查其他内容,可能基于请求 header 或其他内容。在这种情况下,您可以提供这样的覆盖。

protected override bool IsAuthorized(HttpActionContext actionContext)
{
bool isAuthroized = base.IsAuthorized(actionContext);
// Here you look at the header and do your additional stuff based on actionContext
// and store the result in isRequestHeaderOk
// Then, you can combine the results
// return isAuthorized && isRequestHeaderOk;
}

很抱歉,我不明白你的问题 3。顺便说一句,授权过滤器已经存在很长时间了,人们将它用于各种各样的事情,有时甚至是错误的。

One more thing. And finally there was this guy here who said : You shouldn't override OnAuthorization - because you would be missing [AllowAnonymous] handling.

说这句话的人就是访问控制之神——多米尼克。显然这是正确的。如果您查看 OnAuthorization 的实现(复制如下),

public override void OnAuthorization(HttpActionContext actionContext)
{
if (actionContext == null)
{
throw Error.ArgumentNull("actionContext");
}

if (SkipAuthorization(actionContext))
{
return;
}

if (!IsAuthorized(actionContext))
{
HandleUnauthorizedRequest(actionContext);
}
}

SkipAuthorization 的调用是确保应用 AllowAnonymous 过滤器的部分,即跳过授权。如果您重写此方法,您就会失去该行为。实际上,如果您决定将授权基于用户/角色,那么您就决定从 AuthorizeAttribute 派生。此时留给您的唯一正确选择是覆盖 IsAuthorized 而不是已经覆盖的 OnAuthorization,尽管从技术上来说这两者都是可行的。

PS。在 ASP.NET Web API 中,还有另一个过滤器,称为身份验证过滤器。想法是,您使用它进行身份验证,并使用授权过滤器进行授权,正如名称所示。然而,有很多例子表明这个界限是被捏造的。许多授权过滤器示例将进行某种身份验证。无论如何,如果你有时间并且想了解更多,请看一下这个 MSDN article 。免责声明:这是我写的。

关于asp.net - Asp.net WebApi 中的自定义授权 - 一团糟?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/26464848/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com