ASP.NET WebApi總結之自定義許可權驗證

来源:https://www.cnblogs.com/buyixiaohan/archive/2018/01/13/8278544.html

在.NET中有兩個AuthorizeAttribute類, 一個定義在System.Web.Http命名空間下 #region 程式集 System.Web.Http, Version=5.2.3.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35... ...

在.NET中有兩個AuthorizeAttribute類,

一個定義在System.Web.Http命名空間下

#region 程式集 System.Web.Http, Version=5.2.3.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35
// E:\src\packages\Microsoft.AspNet.WebApi.Core.5.2.3\lib\net45\System.Web.Http.dll
#endregion

using System.Web.Http.Controllers;
using System.Web.Http.Filters;

namespace System.Web.Http
{
    //
    // 摘要:
    //     指定用於驗證請求的 System.Security.Principal.IPrincipal 的授權篩選器。
    [AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, Inherited = true, AllowMultiple = true)]
    public class AuthorizeAttribute : AuthorizationFilterAttribute
    {
        //
        // 摘要:
        //     初始化 System.Web.Http.AuthorizeAttribute 類的新實例。
        public AuthorizeAttribute();

        //
        // 摘要:
        //     獲取或設置授權角色。
        //
        // 返回結果:
        //     角色字元串。
        public string Roles { get; set; }
        //
        // 摘要:
        //     獲取此特性的唯一標識符。
        //
        // 返回結果:
        //     此特性的唯一標識符。
        public override object TypeId { get; }
        //
        // 摘要:
        //     獲取或設置授權用戶。
        //
        // 返回結果:
        //     用戶字元串。
        public string Users { get; set; }

        //
        // 摘要:
        //     為操作授權時調用。
        //
        // 參數:
        //   actionContext:
        //     上下文。
        //
        // 異常:
        //   T:System.ArgumentNullException:
        //     上下文參數為 null。
        public override void OnAuthorization(HttpActionContext actionContext);
        //
        // 摘要:
        //     處理授權失敗的請求。
        //
        // 參數:
        //   actionContext:
        //     上下文。
        protected virtual void HandleUnauthorizedRequest(HttpActionContext actionContext);
        //
        // 摘要:
        //     指示指定的控制項是否已獲得授權。
        //
        // 參數:
        //   actionContext:
        //     上下文。
        //
        // 返回結果:
        //     如果控制項已獲得授權,則為 true;否則為 false。
        protected virtual bool IsAuthorized(HttpActionContext actionContext);
    }
}

另一個在System.Web.Mvc命名空間下

#region 程式集 System.Web.Mvc, Version=5.2.3.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35
// E:\src\packages\Microsoft.AspNet.Mvc.5.2.3\lib\net45\System.Web.Mvc.dll
#endregion

namespace System.Web.Mvc
{
    //
    // 摘要:
    //     指定對控制器或操作方法的訪問只限於滿足授權要求的用戶。
    [AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, Inherited = true, AllowMultiple = true)]
    public class AuthorizeAttribute : FilterAttribute, IAuthorizationFilter
    {
        //
        // 摘要:
        //     初始化 System.Web.Mvc.AuthorizeAttribute 類的新實例。
        public AuthorizeAttribute();

        //
        // 摘要:
        //     獲取或設置有權訪問控制器或操作方法的用戶角色。
        //
        // 返回結果:
        //     有權訪問控制器或操作方法的用戶角色。
        public string Roles { get; set; }
        //
        // 摘要:
        //     獲取此特性的唯一標識符。
        //
        // 返回結果:
        //     此特性的唯一標識符。
        public override object TypeId { get; }
        //
        // 摘要:
        //     獲取或設置有權訪問控制器或操作方法的用戶。
        //
        // 返回結果:
        //     有權訪問控制器或操作方法的用戶。
        public string Users { get; set; }

        //
        // 摘要:
        //     在過程請求授權時調用。
        //
        // 參數:
        //   filterContext:
        //     篩選器上下文,它封裝有關使用 System.Web.Mvc.AuthorizeAttribute 的信息。
        //
        // 異常:
        //   T:System.ArgumentNullException:
        //     filterContext 參數為 null。
        public virtual void OnAuthorization(AuthorizationContext filterContext);
        //
        // 摘要:
        //     重寫時,提供一個入口點用於進行自定義授權檢查。
        //
        // 參數:
        //   httpContext:
        //     HTTP 上下文,它封裝有關單個 HTTP 請求的所有 HTTP 特定的信息。
        //
        // 返回結果:
        //     如果用戶已經過授權,則為 true;否則為 false。
        //
        // 異常:
        //   T:System.ArgumentNullException:
        //     httpContext 參數為 null。
        protected virtual bool AuthorizeCore(HttpContextBase httpContext);
        //
        // 摘要:
        //     處理未能授權的 HTTP 請求。
        //
        // 參數:
        //   filterContext:
        //     封裝有關使用 System.Web.Mvc.AuthorizeAttribute 的信息。filterContext 對象包括控制器、HTTP 上下文、請求上下文、操作結果和路由數據。
        protected virtual void HandleUnauthorizedRequest(AuthorizationContext filterContext);
        //
        // 摘要:
        //     在緩存模塊請求授權時調用。
        //
        // 參數:
        //   httpContext:
        //     HTTP 上下文,它封裝有關單個 HTTP 請求的所有 HTTP 特定的信息。
        //
        // 返回結果:
        //     對驗證狀態的引用。
        //
        // 異常:
        //   T:System.ArgumentNullException:
        //     httpContext 參數為 null。
        protected virtual HttpValidationStatus OnCacheAuthorization(HttpContextBase httpContext);
    }
}

兩者主要區別在於:

  • System.Web.Http 這個主要是用在Web Api
  • System.Web.Mvc 這個主要用在 ASP.NET MVC
  • System.Web.Http 版本中,傳入參數為HttpActionContext
    public override void OnAuthorization(HttpActionContext actionContext);

    System.Web.Mvc版本中,傳入參數為AuthorizationContext

    public virtual void OnAuthorization(AuthorizationContext filterContext);

看似相同,但是在處理自定義許可權的時候,兩者思路相近實際實現方式上有很大的差別。

 

下麵列出兩種屬性下獲取Cookie的不同:

MVC:

public class Foo : AuthorizeAttribute
{
     public override void OnAuthorization(AuthorizationContext filterContext) 
     {
          HttpCookie cookie = filterContext.HttpContext.Request.Cookies.Get("Bar");    
     }
}

 

HTTP(Web Api):

public class Foo : AuthorizeAttribute
{

      public override void OnAuthorization(HttpActionContext actionContext)
      {
           var cookies = actionContext.Request.Headers.GetCookies("Bar").FirstOrDefault();

           var cookie = cookies["Bar"];
      }
}

 

還有就是自定義許可權處理的時候,寫法也不盡相同,後續文章會進行介紹


您的分享是我們最大的動力!

更多相關文章
  • 背水一戰 Windows 10 之 文件系統: 獲取文件夾的屬性, 獲取文件夾的縮略圖 ...
  • AdminController中添加引用: Index添加[Authorize]許可權要求: StartUp.cs中添加引用: StartUp.cs ConfigureServices中添加常量: 添加中間件: 此時,訪問Admin頁面,自動跳轉至Account/Login?ReturnUrl=%2F ...
  • 打斷點打不出火花,這個問題糾結了我兩天時間,查問了度娘許久,網上各種說法。我一直認為是我的環境設置問題,但就是沒辦法找到問題所在。 我想起哪天部署WEB的時候,點了一下“代碼優化”,於是還原了代碼優化,結果問題解決了。 哈哈 這樣就能打出火花了 ...
  • 1. 單一職責原則(Single Responsibility Principle) 每一個類應該專註於做一件事情。 每一個職責都是變化的一個軸線,如果一個類有一個以上的職責,這些職責就耦合在了一起。這會導致脆弱的設計。當一個職責發生變化時,可能會影響其它的職責。另外,多個職責耦合在一起,會影響復用 ...
  • 今天,我將向您展示這些EF Core中一個很酷的功能,通過使用顯式編譯的查詢,提高查詢性能。 不過在介紹具體內容之前,需要說明一點,EF Core已經對錶達式的編譯使用了緩存;當您的代碼需要重用以前執行的查詢時,EF Core將使用哈希查找並從緩存中返回已編譯的查詢。 關於這一點,您可以查閱gith ...
一周排行
  • 一、課程介紹 曾經有一位不知名的講師說過這麼一句名言: 一門RPC技術不會,那麼千萬萬門RPC技術將都不會!在今天移動互聯網的時代,作為攻城師的我們,誰不想著只寫一套API就可以讓我們的Web, Android APP, IOS APP, iPad APP, Hybired APP, H5 Web共 ...
  • MVC也好,WebAPI也好,據我所知,有部分人是因為複雜的路由,而不想去學的。曾經見過一位程式猿,在他MVC程式中,一切皆路由,url中是完全拒絕"?"和“&”。對此,我也不好說什麼,搞不好是個人風格。路由雖然重要,但其實也只是實現MVC的一種手段,並非你用的路由越多,你的url完全不使用參數,你 ...
  • 基於Ubuntu安裝redis, 我找的一個很好的網站: https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-redis-on-ubuntu-16-04設置redis密碼登錄, 編輯redis.c ...
  • 原文鏈接 一.Has方法: 二.With方法: ...
  • 本文的概念性內容來自深入淺出設計模式一書 項目需求 這是一個糖果機的需求圖. 它有四種狀態, 分別是圖中的四個圓圈: No Quarter: 無硬幣 Has Quater 有硬幣 Gumball Sold 糖果賣出 Out of Gumball 沒有糖果了 這個圖很像一個狀態圖. 每個圓圈就是一個狀 ...
  • 最近有個統計分佈的需求,需要按統計本周,上周,本月,上月,本季度,上季度,本年度,上年度等時間統計分佈趨勢,所以這裡就涉及到計算周,月,季度,年度等的起止時間了,下麵總結一下C#中關於根據當前時間獲取周,月,季度,年度等時間段的起止時間的方法,廢話不多說,直接貼代碼,如果你覺得有用,請多多推薦。 ...
  • 本文是一篇介紹net同步非同步的文章,是為張四火同學原創的。請張四活同學及廣大讀者指出,文章不通順的地方。後續應當還有兩篇文章敬請期待 ...
  • 在WPF里用MediaElement控制項,實現一個迴圈播放單一視頻的程式,同時可以控制視頻的播放、暫停、停止。 一種方式,使用MediaElement.MediaEnded事件,在視頻播放結束後,自動重新播放; 另一種方式,使用WPF定時器,在定時器事件里寫入視頻播放代碼。 後者優點是可以控制迴圈時 ...
  • 最近因為公司業務需要,又有機會擼winform了,這次的需求是因為公司有項目申報的這塊業務,項目申報前期需要關註政府發佈的相關動態信息,政府部門網站過多,人工需要一個一個網站去瀏覽和查閱,有時候還會遺漏掉,因此呢,我們打算用爬蟲+移動端web來做,我呢主要負責爬蟲和web Api。 爬蟲篇 爬蟲主要 ...
  • AspNetCoreApi 跨域處理 如果咱們有處理過MV5 跨域問題這個問題也不大。 (1)為什麼會出現跨域問題: 瀏覽器安全限制了前端腳本跨站點的訪問資源,所以在調用WebApi 介面時不能成功訪問資源,原因“同源策略”的存在: 同源指以下幾點相同 (1) IP地址/功能變數名稱 (2) 埠號 (3) ...