WebApi授权拦截——重写AuthorizeAttribute

最新推荐文章于 2024-01-31 09:28:18 发布
最新推荐文章于 2024-01-31 09:28:18 发布
阅读量1.6k 收藏
点赞数 2
分类专栏: Web API C# 文章标签: api
原文链接:https://www.cnblogs.com/duanxian/p/5712680.html
版权
C# 同时被 2 个专栏收录
167 篇文章 6 订阅
订阅专栏
Web API
31 篇文章 1 订阅
订阅专栏

 跟mvc一样,webapi大多通过附加Authorize特性来实现授权,Authorize当授权失败时返回状态码:401。一般系统状态为401时,服务端就Redirect重定向到登录页。

    问题来了,我们的webapi在为富客户端ajax提供服务时,合理的做法是无论服务端发生什么情况,都尽可能给客户端返回json,才方便ajax回调函数解析。而重定向到登录了,则将返回登录页的一串html,ajax回调函数就傻傻的分不清楚啦。

    当然,解决办法是有的,思路为:重写Authorize的HandleUnauthorizedRequest,让服务端返回json,并且把状态码401改为其他状态码来避免被重定向。最合理的是改为403,表示服务器拒绝。

重写Authorize有以下几个要点需注意:

  1. HandleUnauthorizedRequest中基类方法已经将Response的状态设为”HttpStatusCode.Unauthorized(即401)“,重写时手请动改为”HttpStatusCode.Forbidden(即403)“,否则按401状态往下执行,就要被重定向到登录页;
  2. webApi下的授权筛选attribute为System.Web.Http.AuthorizeAttribute,而Mvc下用的是System.Web.Mvc.AuthorizeAttribute。这里别继承错了,否则授权筛选attrbute拦截不了。
  3. WebApi下Authorize.HandleUnauthorizedRequest的参数filterContext在此上下文里response还为空,需要手动创建。

    

以下是我重写的Authorize:

复制代码

 1  /// <summary>
 2     /// 重写实现处理授权失败时返回json,避免跳转登录页
 3     /// </summary>
 4     public class ApiAuthorize : AuthorizeAttribute
 5     {
 6         protected override void HandleUnauthorizedRequest(HttpActionContext filterContext)
 7         {
 8             base.HandleUnauthorizedRequest(filterContext);
 9 
10             var response = filterContext.Response = filterContext.Response ?? new HttpResponseMessage();
11             response.StatusCode = HttpStatusCode.Forbidden;
12             var content = new Result
13             {
14                 success = false,
15                 errs = new[] { "服务端拒绝访问:你没有权限,或者掉线了" }
16             };
17             response.Content = new StringContent(Json.Encode(content), Encoding.UTF8, "application/json");
18         }
19     }

复制代码

运行结果:

 

chrome下查看返回状态:

 

fangyuan621
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Asp.Net MVC WebAPI身份验证Demo_v1.0.0
11-08
项目中经常需要使用WebAPI编写接口提供给其他人调用, 那么接口就需要进行身份验证,否则只要知道了这个接口的地址都可以访问了 这里说下如何对webapi进行身份验证 主要通过重新AuthorizeAttribute内OnAuthorization方法进行身份验证
.NET6平台开发WebApi—使用JWT进行用户鉴权和测试源码
02-21
1.用.Net6平台WebApi项目开发 2.使用jwt给用户颁发密钥 3.swagger验证配置 4.接口jwt验证密钥方法 5.运行就能使用
C# .Net Framework webapi 全局日志
weixin_55253638的博客
01-31 572
1.创建一个类名字叫做CustomActionFilter.cs。这样就可以方便打印日志啦。2.在控制器上方加上。
MVC中使用AuthorizeAttribute做身份验证操作
热门推荐
顾丽江的专栏
11-02 1万+
代码顺序为:OnAuthorization-->AuthorizeCore-->HandleUnauthorizedRequest   如果AuthorizeCore返回false时,才会走HandleUnauthorizedRequest 方法,并且Request.StausCode会返回401,401错误又对应了Web.config中 的           所有,Au
MVC自定义AuthorizeAttribute管理页面浏览权限
liuxufeiyang000的专栏
11-24 1997
重写AuthorizeAttribute,可以很方便的管理网页浏览权限 public class CustomAuthorizeAttribute : AuthorizeAttribute     {         public static bool isAuthenticated = false;         public override void OnAuthoriz
C#_MVC 自定义AuthorizeAttribute实现权限管理
weixin_33970449的博客
06-14 283
随笔- 28 文章- 31 评论- 16 MVC 自定义AuthorizeAttribute实现权限管理 在上一节中提到可以使用AuthorizeAttribute进行权限管理: [Authorize] public ActionResult TestAuthorize() ...
【.NET MVC】AuthorizeAttribute类进行身份验证
MoFe1的博客
03-31 889
通过使用AuthorizeAttribute类中的方法: AuthorizeCore(HttpContextBase) 重写时,提供一个入口点用于进行自定义授权检查。 HandleUnauthorizedRequest(AuthorizationContext) 处理未能授权的 HTTP 请求。 使用以上两个方法实现用户的身份校验 使用方法: 继承AuthorizeAttribute类并重写AuthorizeAttribute类中的AuthorizeCore方法 如: publi...
WebAPi接口安全之公钥私钥加密
xv7676的博客
04-28 1088
随着各种设备的兴起,WebApi作为服务也越来越流行。而在无任何保护措施的情况下接口完全暴露在外面,将导致被恶意请求。最近项目的项目中由于提供给APP的接口未对接口进行时间防范导致短信接口被怒对造成一定的损失,临时的措施导致PC和app的防止措施不一样导致后来前端调用相当痛苦,选型过oauth,https,当然都被上级未通过,那就只能自己写了,就很,,ԾㅂԾ,,。下面就此次的方式做一次记录。最终的效果:传输过程中都是密文,别人拿到请求串不能更改请求参数,通过接口过期时间防止同一请求串一直被调用。
[转]How to override HandleUnauthorizedRequest in ASP.NET Core
weixin_33762321的博客
01-07 382
本文转自:http://quabr.com/40446028/how-to-override-handleunauthorizedrequest-in-asp-net-core I'm migrating my project to asp.net core and I'm stuck in migrating my CustomAuthorization attribute for my ...
Asp.Net WebAPI身份验证,授权/请求过滤,token验证,action过滤
u011511086的专栏
11-03 3466
AuthorizeAttribute过滤器执行顺序: 重写AuthorizeAttribute实现请求拦截 using System; using System.Collections.Generic; using System.Linq; using System.Net.Http; using System.Net.Http.Headers; using System.Web; using System.Web.Http; using System.Web.Http.Controllers; usin
asp.net MVC之AuthorizeAttribute浅析
dietisi8980的博客
08-09 525
AuthorizeAttribute是asp.net MVC的几大过滤器之一,俗称认证和授权过滤器,也就是判断登录与否,授权与否。当为某一个Controller或Action附加该特性时,没有登录或授权的账户是不能访问这些Controller或Action的。 在进入一个附加了Authorize特性的Controller或Action之前,首先执行的是AuthorizeAttribut...
MVC权限控制小例子(重写AuthorizeAttribute
03-12
通过重写AuthorizeAttribute实现对不同控制器的访问权限,比较简单的一个,你也可以加上自己的一些内容
C#进阶系列--WebApi
08-23
C#进阶系列——WebApi 路由机制剖析:你准备好了吗? ................................................................................................... 3 一、MVC和WebApi路由机制比较 .......................
后端开发是一个涉及广泛技术和工具的领域.docx
04-30
后端开发是一个涉及广泛技术和工具的领域,这些资源对于构建健壮、可扩展和高效的Web应用程序至关重要。以下是对后端开发资源的简要介绍: 首先,掌握一门或多门编程语言是后端开发的基础。Java、Python和Node.js是其中最受欢迎的几种。Java以其跨平台性和丰富的库而著名,Python则因其简洁的语法和广泛的应用领域而备受欢迎。Node.js则通过其基于JavaScript的单线程异步I/O模型,为Web开发提供了高性能的解决方案。 其次,数据库技术是后端开发中不可或缺的一部分。关系型数据库(如MySQL、PostgreSQL)和非关系型数据库(如MongoDB、Redis)各有其特点和应用场景。关系型数据库适合存储结构化数据,而非关系型数据库则更适合处理大量非结构化数据。 此外,Web开发框架也是后端开发的重要资源。例如,Express是一个基于Node.js的Web应用开发框架,它提供了丰富的API和中间件支持,使得开发人员能够快速地构建Web应用程序。Django则是一个用Python编写的Web应用框架,它采用了MVC的软件设计模式,使得代码结构更加清晰和易于维护。
华为数字化转型实践28个精华问答glkm.pptx
04-30
华为数字化转型实践28个精华问答glkm.pptx
新员工入职培训全流程资料包gl.zip
04-30
新员工入职培训全流程资料包(100+个文件) 1入职流程指引 万科新职员入职通知书 万科新职员入职引导手册 新进员工跟进管理表 新员工入职报到工作单(文职) 新员工入职报到流程 新员工入职流程表 新员工入职手续办理流程(工厂 新员工入职手续清单 新员工入职须知 新员工入职训流程 新员工入职引导表(导师用) 2 入职工具表格 3 培训方案计划 4培训管理流程 5培训教材课件 6 培训效果检测 7 员工管理制度 8 劳动合同协议 9 新员工培训PPT模板(28套)
三菱PLC通讯程序实例
04-30
FX5U PLC作为主、从站的通讯方式程序实例,以及包含详细说明文件...
技术需求报告-集行波测距与故障录波功能于一体的电网综合故障分析系统.docx
最新发布
04-30
技术需求报告-集行波测距与故障录波功能于一体的电网综合故障分析系统.docx
ASP.NET webapi 登录登出
05-18
ASP.NET WebAPI 是一种基于 HTTP 协议的 RESTful 风格的 Web 服务框架,它可以用来创建和提供 Web 服务。在 WebAPI 中实现登录和注销功能,需要涉及到用户认证和授权的相关知识。 下面是一个简单的 ASP.NET WebAPI 登录和注销的示例: 1. 首先需要创建一个控制器,例如名为 `AccountController` 的控制器。 2. 在 `AccountController` 中添加一个 `Login` 方法,用于处理用户登录的逻辑。在这个方法中,可以使用 ASP.NET Identity 进行用户认证,例如: ```csharp [HttpPost] public async Task<IHttpActionResult> Login(LoginViewModel model) { var user = await UserManager.FindAsync(model.Username, model.Password); if (user == null) { return BadRequest("Invalid username or password."); } var identity = await UserManager.CreateIdentityAsync(user, DefaultAuthenticationTypes.ApplicationCookie); Authentication.SignIn(new AuthenticationProperties { IsPersistent = model.RememberMe }, identity); return Ok(); } ``` 3. 在 `AccountController` 中添加一个 `Logout` 方法,用于处理用户注销的逻辑。在这个方法中,可以使用 ASP.NET Identity 进行用户注销,例如: ```csharp [HttpPost] public IHttpActionResult Logout() { Authentication.SignOut(DefaultAuthenticationTypes.ApplicationCookie); return Ok(); } ``` 4. 在 WebAPI 的配置文件 `WebApiConfig.cs` 中启用用户认证和授权: ```csharp public static void Register(HttpConfiguration config) { // 配置 Web API 路由 config.MapHttpAttributeRoutes(); // 启用用户认证和授权 config.Filters.Add(new AuthorizeAttribute()); // ... } ``` 以上就是一个简单的 ASP.NET WebAPI 登录和注销的示例。在实际开发中,还需要结合具体的业务逻辑进行完善。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值