深入了解 Authorize 和 AllowAnonymous

最新推荐文章于 2024-03-21 09:39:36 发布
最新推荐文章于 2024-03-21 09:39:36 发布
阅读量2.5k 收藏
点赞数
分类专栏: FrontEnd 文章标签: filter ASP

Chapter 0 - Intro

最近做的一个项目的时候,自定义授权 Attribute 来区分用户权限,我的项目不太大,权限控制也不是很复杂,只涉及到匿名、普通用户、超级管理员。 权限验证方式使用的是默认的 MemberShip 认证结合自己自定义的 权限验证 Filter。

Chapter 1 - 自定义 Filter V1.0

Filter代码 V1.0

/// <summary>
/// 不需要登录即可访问
/// </summary>
public class NoPermissionRequiredAttribute : ActionFilterAttribute
{
    public override void OnActionExecuting(ActionExecutingContext filterContext)
    {
        base.OnActionExecuting(filterContext);
    }
}

/// <summary>
/// 需要登录才能进行操作
/// </summary>
public class PermissionRequiredAttribute : ActionFilterAttribute
{
    public override void OnActionExecuting(ActionExecutingContext filterContext)
    {
        if (filterContext.HttpContext.Session["User"]==null)
        {
            filterContext.Result = new RedirectResult("~/Admin/Account/Login");
        }
        base.OnActionExecuting(filterContext);
    }
}

/// <summary>
/// 需要有超级管理员权限
/// </summary>
public class AdminPermissionRequiredAttribute : ActionFilterAttribute
{
    public override void OnActionExecuting(ActionExecutingContext filterContext)
    {
        if ((filterContext.HttpContext.Session["User"] == null) || !((filterContext.HttpContext.Session["User"] as Models.User).IsSuper))
        {
            filterContext.Result = new RedirectResult("~/Admin/Account/Login");
        }
        base.OnActionExecuting(filterContext);
    }
}

Chapter 2 - 控制器引用 Filter

控制器代码中引用Filter 代码:


[Authorize]
[Filters.PermissionRequired]
public class AccountController : BaseAdminController
{
    /// <summary>
    /// 登录页面
    /// </summary>
    /// <returns></returns>
    [AllowAnonymous]
    [Filters.NoPermissionRequired]
    [HttpGet]
    public ActionResult Login(string ReturnUrl)
    {
        if (!Url.IsLocalUrl(ReturnUrl))
        {
            ReturnUrl = "/Admin/Home/Index";
        }
        if (Helpers.AuthFormService.TryAutoLogin())
        {
            return Redirect(ReturnUrl);
        }
        return View();
    }

    /// <summary>
    /// 账户首页
    /// </summary>
    /// <returns></returns>
    public ActionResult Index()
    {
        Models.User u = Session["User"] as Models.User;
        return View(u);
    }
}

Chapter 3 - 运行代码

开始调试代码,访问这个 Login Action 时就直接崩了,一直在重定向到登录页面。 于是就想为什么会出现这样的情况呢,只使用 [Authorize] 和 [AllowAnonymous] 的时候是不会出现这种问题的, 但是为什么自定义 Filter 的时候会出现这样的问题呢,是哪里出现的问题呢。
首先自带的[Authorize] 和 [AllowAnonymous] 是基于 就近原则 的,离的越近的 Filter 的权限越高会覆盖掉父级定义的 Filter。 但是自定义的 Filter 却并没有依照 就近原则 这一原则来控制权限,所以可能内部并不是靠判断哪个 Filter 离得近就用哪个 Filter的,下一步反编译 MVC 代码,看 MVC 是怎么样处理 [Authorize] 和 [AllowAnonymous]

Chapter 4 - 反编译分析出现问题的原因

利用 .Net 反编译工具 Reflector 或 JustDecompile反编译 System.Web.Mvc.dll ,在命名空间 System.Web.Mvc 下可以找到 Authorize 和 AllowAnonymous的定义,如下图所示:




AllowAnonymous定义:


Authorize定义


通过上面的 Authorize.OnAuthorization 方法的定义基本可以知道问题出现在哪里了,Authorize 在进行权限验证的时候会判断当前请求的 Controller 和 Action 上是否有 AllowAnonymous 定义,如果有定义则不进行验证,跳过验证,只有在 当前请求的 Controller 和 Action 上都没有 AllowAnonymous 时才会进行权限验证。

Chapter 5 - 自定义 Filter V2.0

知道问题出现在哪里了,就开始修改自定义的 Filter 代码吧,修改之后的代码如下所示:


/// <summary>
/// 需要登录才能进行操作
/// </summary>
public class PermissionRequiredAttribute : ActionFilterAttribute
{

    public override void OnActionExecuting(ActionExecutingContext filterContext)
    {
        if (!filterContext.ActionDescriptor.IsDefined(typeof(NoPermissionRequiredAttribute),true))
        {
            if (filterContext.HttpContext.Session["User"] == null)
            {
                filterContext.Result = new RedirectResult("~/Admin/Account/Login");
            }
        }            
        base.OnActionExecuting(filterContext);
    }
}

修改之后再次进行调试,导航到登录页面就不会再出现重定向的问题,就实现了按  就近原则  来决定 Filter 的优先级的自定义的 Filter 了。

Edwin_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Asp.net Mvc Authorize 详细说明.docx
07-27
Asp.net Mvc Authorize可以简单的进行用户登录验证与授权,简单好用。但是详细资源有限,好多网上的资料不是不全,就是不能运行,经过多方搜集与整理,归纳出了 这方面的详细资料,提供给同人,希望减轻搜索资料的...
ASP.NET MVC使用AllowAnonymous特性跳过授权验证
热门推荐
pan_junbiao的博客
11-27 2万+
AllowAnonymous表示一个特性,该特性用于标记在授权期间要跳过 System.Web.Mvc.AuthorizeAttribute 的控制器和操作。 1、在Authorize过滤器类中添加如下代码 //判断是否跳过授权过滤器 if (filterContext.ActionDescriptor.IsDefined(typeof(AllowAnonymousAttribute), t...
ABP中的[AllowAnonymous]作用是什么?
dongnihao的博客
05-16 1517
AllowAnonymous] 是一个特性标记(attribute),可以应用在 ASP.NET Core MVC 或者 Web API 应用程序的控制器或方法上。它的作用是允许未经认证的用户匿名访问带有身份验证限制的控制器和方法。如果您想要允许某些操作不需要身份验证,也不需要注册,请使用 [AllowAnonymous] 特性标记。例如,在您的 Web 应用程序中,您可以使用 [AllowAnonymous] 特性标记来允许任何人可以查看博客文章列表页面,而无需进行身份验证。
解决ASP.NET Web api 使用AllowAnonymous特性不起作用的问题
MDZZ666的博客
03-12 6218
问题:在控制器或方法添加[AllowAnonymous]特性的时候,无法跳过继承AuthorizeAttribute的子类的验证。 原因:
.net core 3.1 AllowAnonymous特性无效
elvismile的博客
01-16 7969
.net core 2.0 自定义权限过滤器和忽略验证的实现方式 继承Microsoft.AspNetCore.Mvc.Filters.IAuthorizationFilter实现自定义的过滤器 在不需要过滤器验证的Action或Controller上增加特性[AllowAnonymous] 在过滤器的OnAuthorization方法内对该特性进行判断,包含该特性的Controller或者Ac...
转载----.NET权限拦截器使用AllowAnonymous特性跳过授权验证---仅做记录
weixin_44749334的博客
07-07 1297
AllowAnonymous跳过权限验证
Flask-Authorize:Flask的授权和访问控制
05-03
Flask-Authorize是Flask扩展,旨在简化将访问控制列表(ACL)和基于角色的访问控制(RBAC)合并到包含敏感数据的应用程序中的过程,从而使开发人员可以专注于其应用程序的实际代码,而不是逻辑强制执行权限。...
authorize-net
06-20
SDK 完全基于名称-值对 API,但在后台执行核心支付活动(例如错误处理/解析、网络通信和数据编码)。 为最终开发人员提供此功能允许开发人员立即开始集成,而无需编写大量样板代码。 前提条件 Ruby 1.8.7 或更高...
authorize:authorize.net api 的客户端库
05-31
使用这个客户端库,开发者需要了解Authorize.Net API的基本概念和流程,同时掌握Go语言编程。库通常会提供函数和结构体来封装API调用,简化HTTP请求的构建和响应的解析。开发者可能需要设置API密钥、商户ID等配置,...
web聊天室(.net core MVC + signalr + EF + Authorize
06-16
总的来说,这个Web聊天室项目展示了如何结合使用.NET Core MVC、SignalR、EF和Authorize来构建一个功能完善的、具有实时通信、数据库管理和权限控制的Web应用程序。开发者可以从中学习到如何设计和实现这类交互式...
.net 6.0 api 使用AllowAnonymous
最新发布
qq_20382175的博客
03-21 208
绕过授权语句,每个人都可以访问该操作,无论其状态是经过身份验证、未经过身份验证还是匿名。例如,如果在控制器级别应用。属性结合使用,系统将忽略。
解决ASP.NET MVC AllowAnonymous属性无效导致无法匿名访问控制器的问题
weixin_30735745的博客
09-29 574
ASP.NET MVC项目中,一般都要使用身份验证和权限控制,但总有部分网页是可以匿名访问的。使用AllowAnonymous属性就可以指定需要匿名访问的控制器,从而跳过身份验证。 但是今天却遇到一个AllowAnonymous属性失效的问题,导致声明了该属性控制器的操作方法无法匿名访问,需要登陆后才可访问。后经过排查,是由于配置文件属性设置的问题。 一般是这样声明这个属性的: [Allo...
php web 登录验证,Web登录Authorization验证
weixin_29940495的博客
03-11 3560
通过Http访问服务器的一个服务软件的数据,浏览器会弹出以下验证弹框:由于想用PHP curl方法获取数据,但不知道怎么设置用户名和密码验证参数:这样发现不起作用:curl_setopt($curl, CURLOPT_USERPWD, "name:pwd");curl_setopt($curl, CURLOPT_HTTPAUTH, CURLAUTH_ANY);使用postman模拟登陆登陆以后我发...
AllowAnonymous属性失效
weixin_33994429的博客
06-08 3055
  今天实现自定义AuthorizeAttribute却遇到了AllowAnonymous属性失效的问题,即使我在控制器、方法上声明AllowAnonymous也依然无法匿名访问,全都需要登陆后才可访问。 namespace System.Web.Mvc { // 摘要: // 表示一个特性,该特性用于标记在授权期间要跳过 System.Web.M...
.Net Core MVC实现自己的AllowAnonymous
weixin_30947043的博客
10-31 553
全局过滤,在Startup中ConfigureServices里面添加如下代码 services.AddMvc(options => { options.Filters.Add(typeof(MyActionFilterAttribute)); }).SetCompatibilityV...
.net core自定义授权认证 含3.0及以上版本AllowAnonymous失效解决办法
qq_41974094的博客
10-18 941
新建一个类RequestAuthorizeAttribute 继承IAuthorizationFilter public class RequestAuthorizeAttribute : IAuthorizationFilter{ public void OnAuthorization(AuthorizationFilterContext context){ var descriptor = (Microsoft.AspNetCore.Mvc.Controllers.Controlle
AuthorizeAllowAnonymous
weixin_30297281的博客
07-07 290
[Authorize] public class HomeController : Controller { [AllowAnonymous] public ActionResult Login() { string userName = "admin"; st...
解决自定义AuthorizeAttribute实现授权管理,AllowAnonymous属性失效导致无法匿名访问控制器的问题
jac.song的专栏
09-21 1万+
ASP.NET MVC项目中,一般都要使用身份验证和权限控制,但总有部分网页是可以匿名访问的。使用AllowAnonymous属性就可以指定需要匿名访问的控制器,从而跳过身份验证。 但是今天实现自定义AuthorizeAttribute却遇到了AllowAnonymous属性失效的问题,即使我在控制器、方法上声明AllowAnonymous也依然无法匿名访问,全都需要登陆后才可访问。 nam
OCPP协议解析 代码+代码含义详解
10-25
通过分析代码,我们了解了授权功能的数据结构和参数含义。根据协议,充电站可以通过发送授权请求,并通过充电网络验证用户的身份和权限。授权结果将以JSON形式返回给充电站,并相应地进行处理。授权功能为充电设备和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值