解决ASP.NET Web api 使用AllowAnonymous特性不起作用的问题

最新推荐文章于 2024-05-11 23:00:37 发布
最新推荐文章于 2024-05-11 23:00:37 发布
阅读量6.2k 收藏 2
点赞数
分类专栏: ASP.NET 文章标签: ASP.NET Core
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MDZZ666/article/details/88419189
版权

问题:
在控制器或方法添加[AllowAnonymous]的时候,无法跳过继承AuthorizeAttribute的过滤器的验证。

原因:
在这里插入图片描述

上图是AuthorizeAttribute的源代码

从源代码上来看,[AllowAnonymous]之所以能够跳过AuthorizeAttribute的验证,是因为SkipAuthorization方法的存在,而我们继承重写方法过后,并没有使用SkipAuthorization方法,所以也没有办法跳过AuthorizeAttribute的检查。

解决方法:
因为SkipAuthorization方法是私有的,用反射又显得有点复杂,所以我们只需要方法里面的核心代码就好,那就是
actionContext.ActionDescriptor.GetCustomAttributes<AllowAnonymousAttribute>().Any()

ActionDescriptor方法是获取Aciton在元数据的描述,所属控制器啊,相关名称啊,特性啊等等
GetCustomAttributes方法是获取其中自定义的特性

所以我们只需要在继承AuthorizeAttribute OnAuthorization方法开头这样写就好了
在这里插入图片描述
到这里一般来说都解决了,有什么问题欢迎留言

我赢了算我输
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用Google Authenticator在ASP.NET MVC中实现两因素身份验证
04-11
ASP.NET MVC框架中,为你的Web应用实施两因素身份验证(2FA)是一种增强用户安全性的有效方法。Google Authenticator是一款广泛使用的2FA工具,它通过生成一次性密码(OTP)来提供额外的安全层。本篇文章将深入...
WebApi授权拦截——重写AuthorizeAttribute
08-12
ASP.NET Web API中,`AuthorizeAttribute`是一个用于实现身份验证和授权的关键组件。这个特性是内置的安全机制,用于限制对API控制器或特定操作的访问,只有经过验证的用户才能调用。当我们需要自定义授权行为,...
WebAPI中controller添加[AllowAnonymous]无效的解决方法
weixin_46246967的博客
08-05 338
WebAPI中controller添加[AllowAnonymous]无效的解决方法
AllowAnonymous属性失效
weixin_33994429的博客
06-08 3076
  今天实现自定义AuthorizeAttribute却遇到了AllowAnonymous属性失效的问题,即使我在控制器、方法上声明AllowAnonymous也依然无法匿名访问,全都需要登陆后才可访问。 namespace System.Web.Mvc { // 摘要: // 表示一个特性,该特性用于标记在授权期间要跳过 System.Web.M...
ASP.NET WebApi 如何使用 OAuth2.0 认证
最新发布
yangshuquan的专栏
05-11 1296
OAuth2.0 和 JWT 在使用 Token 进行身份验证时有相似之处,如果只是拿来用于颁布 Token 的话,二者没区别,如本例,但实际上它们是完全不同的两种东西,OAuth2.0 是授权认证的框架,JWT 则是认证验证的方式方法(轻量级概念)。OAuth2.0 更多用在使用第三方账号登录的情况(比如使用 weibo,qq,github 等登录某个 app)其优势在于可以实现用户授权而无需透露密码,同时提供了更安全和灵活的授权机制,更好地保护用户数据和系统安全。
.net core自定义授权认证 含3.0及以上版本AllowAnonymous失效解决办法
qq_41974094的博客
10-18 956
新建一个类RequestAuthorizeAttribute 继承IAuthorizationFilter public class RequestAuthorizeAttribute : IAuthorizationFilter{ public void OnAuthorization(AuthorizationFilterContext context){ var descriptor = (Microsoft.AspNetCore.Mvc.Controllers.Controlle
关于[AbpAllowAnonymous()] 不起作用
hjolpma的博客
12-19 1295
最终找到问题: 方法,代码中使用了L("Hot") 获取多语言,导致需要验证权限 暂时不知道原理。为什么不能使用这个方法。 所以以后可能还会有其他方法,导致 [AbpAllowAnonymous()] 失效。 最终结论: 就是要检查方法内 调用的其他方法 有没有需要权限验证!! ...
解决ASP.NET MVC AllowAnonymous属性无效导致无法匿名访问控制器的问题
kodmoqn的博客
05-03 402
解决ASP.NET MVC AllowAnonymous属性无效导致无法匿名访问控制器的问题
Authorize和AllowAnonymous
weixin_30297281的博客
07-07 296
[Authorize] public class HomeController : Controller { [AllowAnonymous] public ActionResult Login() { string userName = "admin"; st...
ASP.NET MVC Filters 4种默认过滤器的使用
03-06
ASP.NET MVC Filters 是一种强大的机制,它允许开发者在应用程序中插入自定义的逻辑,以便在执行控制器操作之前或之后执行特定的任务。这里有四种默认的过滤器类型:授权(Authorization)、缓存(Caching)、异常...
asp.net_Verification.zip
04-04
2. **AllowAnonymous特性**: ASP.NET MVC提供了一个内置的`[AllowAnonymous]`特性,允许开发者标记某些控制器或操作,表示这些不受身份验证限制。当这个特性被应用时,即使用户未登录,他们也能访问这些标记的方法。...
ASP.NET MVC :MVC页面验证与授权.docx
11-16
在传统的ASP.NET WebForms中,我们通常利用web.config配置文件来实现用户身份验证和授权,如使用Membership功能。然而,ASP.NET MVC并不依赖于物理页面和文件结构,而是由控制器(Controller)和视图(View)动态...
ASP.NET MVC使用AllowAnonymous特性跳过授权验证
热门推荐
pan_junbiao的博客
11-27 2万+
AllowAnonymous表示一个特性,该特性用于标记在授权期间要跳过 System.Web.Mvc.AuthorizeAttribute 的控制器和操作。 1、在Authorize过滤器类中添加如下代码 //判断是否跳过授权过滤器 if (filterContext.ActionDescriptor.IsDefined(typeof(AllowAnonymousAttribute), t...
转载----.NET权限拦截器使用AllowAnonymous特性跳过授权验证---仅做记录
weixin_44749334的博客
07-07 1312
AllowAnonymous跳过权限验证
ASP.NET设置匿名登录,访问还是需要身份验证解决方法
weixin_34099526的博客
01-15 390
碰到这个问题,我们设置了匿名登录模式,怎么还是需要验证,难道是匿名登录设置没生效。然后iisreset一下,发现还是老样子。上网查询还是一大堆都是匿名登录,或者是重新注册一下.NET组件。结果发现问题还是老样子。这是我们就需要注意到可能是权限的问题,而不是系统或者.NET版本有问题解决方法如下: 1.可能是c盘中的Temp的文件夹权限不够,授予user用户的权限,测试...
ABP中的[AllowAnonymous]作用是什么?
dongnihao的博客
05-16 1597
AllowAnonymous] 是一个特性标记(attribute),可以应用在 ASP.NET Core MVC 或者 Web API 应用程序的控制器或方法上。它的作用是允许未经认证的用户匿名访问带有身份验证限制的控制器和方法。如果您想要允许某些操作不需要身份验证,也不需要注册,请使用 [AllowAnonymous] 特性标记。例如,在您的 Web 应用程序中,您可以使用 [AllowAnonymous] 特性标记来允许任何人可以查看博客文章列表页面,而无需进行身份验证。
WEB API权限整理
weixin_33691817的博客
05-09 728
2019独角兽企业重金招聘Python工程师标准>>> ...
解决自定义AuthorizeAttribute实现授权管理,AllowAnonymous属性失效导致无法匿名访问控制器的问题
jac.song的专栏
09-21 1万+
ASP.NET MVC项目中,一般都要使用身份验证和权限控制,但总有部分网页是可以匿名访问的。使用AllowAnonymous属性就可以指定需要匿名访问的控制器,从而跳过身份验证。 但是今天实现自定义AuthorizeAttribute却遇到了AllowAnonymous属性失效的问题,即使我在控制器、方法上声明AllowAnonymous也依然无法匿名访问,全都需要登陆后才可访问。 nam
ASP.NET中cookie与Fiter实现简单登陆,AllowAnonymous匿名登陆
weixin_30549657的博客
10-22 120
向服务器发送cookie 在登陆的时候,我们可以可以通过下列代码,向服务器发送cookie,其中包括自己的账号信息(不涉及加密),用以后面判断访问者. 1 HttpCookie cookie = new HttpCookie("userinfo");//新建一个名为userinfo的cookie 2 cookie.Values["UserName"] = username;//向cook...
.NET6 webapi JWT示例代码
07-14
以下是使用.NET 6 Web API实现JWT认证的示例代码: 1. 首先,安装所需的NuGet包: ``` dotnet add package Microsoft.AspNetCore.Authentication.JwtBearer dotnet add package System.IdentityModel.Tokens.Jwt ``` 2. 在Program.cs文件中进行配置: ```csharp using Microsoft.IdentityModel.Tokens; var builder = WebApplication.CreateBuilder(args); // 添加JWT认证服务 builder.Services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme) .AddJwtBearer(options => { options.TokenValidationParameters = new TokenValidationParameters { ValidateIssuer = true, ValidateAudience = true, ValidateLifetime = true, ValidateIssuerSigningKey = true, ValidIssuer = "your_issuer", // 发行者 ValidAudience = "your_audience", // 受众 IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes("your_secret_key")) // 密钥 }; }); builder.Services.AddControllers(); var app = builder.Build(); app.UseAuthentication(); app.UseAuthorization(); app.MapControllers(); app.Run(); ``` 3. 创建一个控制器来处理认证请求: ```csharp using Microsoft.AspNetCore.Authorization; using Microsoft.AspNetCore.Mvc; using System; using System.IdentityModel.Tokens.Jwt; using System.Security.Claims; using System.Text; using Microsoft.IdentityModel.Tokens; [Authorize] [ApiController] [Route("api/[controller]")] public class AuthController : ControllerBase { [AllowAnonymous] [HttpPost("login")] public IActionResult Login(string username, string password) { // 假设这里是验证用户名和密码的逻辑 // 如果验证通过,创建一个JWT token并返回给客户端 var token = GenerateToken(username); return Ok(new { token }); } [HttpGet("protected")] public IActionResult Protected() { // 受保护的路由,只有经过认证的用户才能访问 return Ok("You have accessed the protected route."); } private string GenerateToken(string username) { var claims = new[] { new Claim(ClaimTypes.Name, username), // 可以添加其他自定义的claims }; var key = new SymmetricSecurityKey(Encoding.UTF8.GetBytes("your_secret_key")); var creds = new SigningCredentials(key, SecurityAlgorithms.HmacSha256); var token = new JwtSecurityToken( issuer: "your_issuer", audience: "your_audience", claims: claims, expires: DateTime.Now.AddMinutes(30), // token过期时间 signingCredentials: creds); return new JwtSecurityTokenHandler().WriteToken(token); } } ``` 以上示例代码演示了如何使用.NET 6 Web API和JWT来实现身份认证。请注意替换示例中的"your_issuer"、"your_audience"和"your_secret_key"为适合你的实际情况的值。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值