角色限制(AuthorizeAttribute)

于 2020-03-08 16:24:53 发布
阅读量1.2k 收藏 1
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qiaozhu8343/article/details/104732787
版权

首选,我看网上很多说System.Web.Mvc.AuthorizeAttribute的,有的只讲了用法,内部方法没有讲清,还有的说的太专业对于底层研究不深的朋友很不友好,因为这篇只是根据本人的胃口对MVC的这个组件进行整理

1.在网上看的资料 说以下的两块代码是 AuthorizeAttribute中,OnAuthorization和AuthorizeCore方法的源码 ,是不是源码我不清楚,如果小伙伴在其他平台有其它源代码请告知我,咱们全当源码分析吧

AuthorizeAttribute的执行方法是 如果某一控制器被标记Attribute,则来自于http的访问变会首先被过滤,第一步就是执行OnAuthorization();

public virtual void OnAuthorization(AuthorizationContext filterContext)
{
    if (filterContext == null)
    {
        throw new ArgumentNullException("filterContext");
    }

    if (OutputCacheAttribute.IsChildActionCacheActive(filterContext))
    {
        throw new InvalidOperationException(MvcResources.AuthorizeAttribute_CannotUseWithinChildActionCache);
    }

    bool skipAuthorization = filterContext.ActionDescriptor.IsDefined(typeof(AllowAnonymousAttribute), inherit: true)
                             || filterContext.ActionDescriptor.ControllerDescriptor.IsDefined(typeof(AllowAnonymousAttribute), inherit: true);

    if (skipAuthorization)
    {
        return;
    }

    if (AuthorizeCore(filterContext.HttpContext))
    {
        HttpCachePolicyBase cachePolicy = filterContext.HttpContext.Response.Cache;
        cachePolicy.SetProxyMaxAge(new TimeSpan(0));
        cachePolicy.AddValidationCallback(CacheValidateHandler, null /* data */);
    }
    else
    {
        HandleUnauthorizedRequest(filterContext);
    }
}

protected virtual bool AuthorizeCore(HttpContextBase httpContext)
{
    if (httpContext == null)
    {
        throw new ArgumentNullException("httpContext");
    }

    IPrincipal user = httpContext.User;
    if (!user.Identity.IsAuthenticated)
    {
        return false;
    }

    if (_usersSplit.Length > 0 && !_usersSplit.Contains(user.Identity.Name, StringComparer.OrdinalIgnoreCase))
    {
        return false;
    }

    if (_rolesSplit.Length > 0 && !_rolesSplit.Any(user.IsInRole))
    {
        return false;
    }

    return true;
}
```我们可以看到OnAuthorization方法中 在一系列的非空,缓存等验证后调用了AuthorizeCore权限验证方法,如果验证通过则出方法,如果不通过则调用HandleUnauthorizedRequest()方法


因此我们在自己的继承类可以从写这三个方法达到权限验证
OnAuthorization()为入口方法
AuthorizeCore()验证方法
HandleUnauthorizedRequest()验证失败后的跳转路径

当然我们可以只从写OnAuthorization()这一个方法  在里面完成所有操作
杨攀冰的男人
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
小白之AuthorizeAttribute权限控制(一)
stoneLSL的博客
03-09 5663
关于权限控制的初步整理,持续更新
在ASP.NET MVC2中使用自定义的AuthorizeAttribute绕过内置的Membership/Role机制
blackboy的技术博客
12-03 7874
ASP.NET MVC2, Authentication, Authorization, Authorize, Membership, Role, Custom AuthorizeAttribute
MVC源码学习之AuthorizeAttribute
weixin_34212189的博客
01-30 134
常见的Controller定义方式: public class HomeController : Controller { public ActionResult Index() { return View(); } } 如果对Action的操作需要权限管理的话,需要在Controller或者Action上面添加AuthorizeAt...
AuthorizeAttribute
星星的专栏
06-03 1408
using System; using System.Collections.Generic; using System.Linq; using System.Web; using System.Web.Mvc; using System.Web.Security; namespace pdf2word.Areas.User {     public class UserA
ASP.NET MVC中利用AuthorizeAttribute实现访问身份是否合法以及Cookie过期问题的处理之IIS WebSite anonymous Authentication...
weixin_33711641的博客
05-12 115
前篇已经介绍过ASP.NET MVC中利用AuthorizeAttribute实现访问身份是否合法。 我们都知道 website有 Authentication配置。一般anonymous Authentication(匿名身份验证)默认enable的,当布置好website和Apllication后,需要把anonymous Authentication设置成disable。这样website...
扩展MVC AuthorizeAttribute的行为以基于活动的授权
04-01
在.NET MVC框架中,`AuthorizeAttribute`是用于实现授权控制的关键组件,它允许开发者限制对控制器和动作的访问,仅允许特定用户或角色执行。当我们谈论“扩展MVC AuthorizeAttribute的行为以基于活动的授权”时,...
AuthorizeAttribute.rar
05-15
`AuthorizeAttribute`是ASP.NET MVC和Web API中的一个内置授权过滤器,它允许开发者限制只有特定的用户或角色才能访问控制器方法或整个控制器。当一个请求到达被`Authorize`装饰的行动方法时,系统会检查用户是否...
asp.net MVC之AuthorizeAttribute浅析
dietisi8980的博客
08-09 540
AuthorizeAttribute是asp.net MVC的几大过滤器之一,俗称认证和授权过滤器,也就是判断登录与否,授权与否。当为某一个Controller或Action附加该特性时,没有登录或授权的账户是不能访问这些Controller或Action的。 在进入一个附加了Authorize特性的Controller或Action之前,首先执行的是AuthorizeAttribut...
MVC 基于 AuthorizeAttribute 实现的登陆权限控制
妖精的尾巴
12-16 9418
本篇主要讲述在MVC中使用AuthorizeAttribute实现登陆和权限控制,通俗的讲就是,判定用户是否登陆,若没登陆就跳转到登陆页,是否有权限访问页面,若没有则跳转到特定提示页。 网上有很多类似的,我也借鉴了部分,如有雷同请见谅。 关于AuthorizeAttribute的详解 请查看 https://msdn.microsoft.com/en-us/library/system.w...
MVC4实现角色权限验证的例子
09-11
8. **测试与调试**:在开发过程中,使用`[AllowAnonymous]`可以帮助测试不受权限控制的场景,而在生产环境中,确保所有敏感动作都有适当的角色限制。 总结来说,MVC4中的角色权限验证是通过结合身份验证和授权机制...
MVC权限控制小例子(重写AuthorizeAttribute
03-12
通过重写AuthorizeAttribute实现对不同控制器的访问权限,比较简单的一个,你也可以加上自己的一些内容
WebApi授权拦截——重写AuthorizeAttribute
08-12
webapi重写Authorize的HandleUnauthorizedRequest,让服务端返回json,并且把401改为其他状态码来避免被重定向
MVC中使用AuthorizeAttribute做身份验证操作
热门推荐
田林的博客
07-24 3万+
代码顺序为:OnAuthorization-->AuthorizeCore-->HandleUnauthorizedRequest  如果AuthorizeCore返回false时,才会走HandleUnauthorizedRequest 方法,并且Request.StausCode会返回401,401错误又对应了Web.config中 的 <authentication m
MVC过滤器 AuthorizeAttribute使用
auir28348的博客
09-06 454
APS.NET MVC中(以下简称“MVC”)的每一个请求,都会分配给相应的控制器和对应的行为方法去处理,而在这些处理的前前后后如果想再加一些额外的逻辑处理。这时候就用到了过滤器。 过滤器类型 接口 描述 Authorization IAuthorizationFilter 此类型(或过滤器)用于限制进入控...
ASP.NET MVC AuthorizeAttribute
JunChow
08-29 575
AuthorizeAttribute 是 ASP.NET MVC 的过滤器之一,又称为认证和授权过滤器,即判断登录与否授权与否。当为某个控制器或动作方法附加该特性时,没有登录或授权的账户是不能访问对应的控制器或动作方法的。 在进入一个附加Authorize特性的控制器或动作之前,首先执行的是 AuthorizeAttribute 类的 OnAuthorization(Authori...
重写AuthorizeAttribute实现自己的权限验证
Robert0102
09-21 1968
在MVC系统开发中,难免会遇到权限验证问题,解决这个问题的方法很多,这里使用自定义AuthorizeAttribute来实现,代码如下: public class MyAuthorizeAttribute : AuthorizeAttribute { protected override bool AuthorizeCore(H
mvc权限验证--AuthorizeAttribute
weixin_30446613的博客
03-20 130
在做后台管理时用户登录后就需要验证哪些权限了,没有登录的就直接退出到登录页面。 系统有自带的权限[Authorize],可用于几个地方: 1、将属性[Authorize]置于相关的action上方,验证当前 [Authorize] public ActionResult Index() { return View(); } 2、将属性[Authorize]置...
关于AuthorizeAttribute使用
weixin_30951231的博客
10-28 214
在开发中,假如你只对一个角色进行权限处理,你可以这么写 class ActionAuthAttribute : AuthorizeAttribute { private RoleType _roleType; public ActionAuthAttribute(RoleType role) { _ro...
MVC用户权限管理AuthorizeAttribute
仰望星空的博客
02-15 2408
一、权限类     public  class UserAuthority     {         public static string Admin { get; set; }     }     二、cs代码     [HttpPost]         public ActionResult Index(User user)         {            
AuthorizeAttribute 在 .NET6使用
最新发布
07-13
在 .NET 6 中,`AuthorizeAttribute` 仍然是用于进行身份验证和授权的重要特性之一。它用于标记需要进行身份验证的控制器或动作方法,并确保只有经过身份验证的用户才能访问它们。 要在 .NET 6 中使用 `AuthorizeAttribute`,你可以按照以下步骤操作: 1. 在你的控制器或动作方法上添加 `AuthorizeAttribute` 特性。例如: ```csharp [Authorize] public IActionResult MyAuthorizedAction() { // 这个动作方法需要进行身份验证才能访问 // ... } ``` 2. 根据你的需求,你可以通过 `Roles`、`Policy`、`AuthenticationSchemes` 等属性对 `AuthorizeAttribute` 进行进一步配置。例如: ```csharp [Authorize(Roles = "Admin", Policy = "CustomPolicy", AuthenticationSchemes = "Bearer")] public IActionResult MyAuthorizedAction() { // 这个动作方法需要进行身份验证,并且用户必须是 "Admin" 角色、满足 "CustomPolicy" 策略,并使用 "Bearer" 认证方案进行认证 // ... } ``` 注意,以上示例中使用的 `AuthorizeAttribute` 是命名空间 `Microsoft.AspNetCore.Authorization` 中的类。确保你的项目引用了正确的依赖项并导入了正确的命名空间。 另外,你可能还需要配置身份验证和授权的其他相关设置,例如身份验证方案、策略等。这些设置可以在 `Startup.cs` 文件中的 `ConfigureServices` 方法中进行配置。例如: ```csharp public void ConfigureServices(IServiceCollection services) { // ... services.AddAuthentication("Bearer") .AddJwtBearer("Bearer", options => { // 配置 JWT Bearer 认证选项 // ... }); services.AddAuthorization(options => { options.AddPolicy("CustomPolicy", policy => { // 配置自定义策略 // ... }); }); // ... } ``` 请根据你的具体需求进行适当的配置和调整。希望这些信息对你有所帮助!如果你有更多问题,欢迎继续提问。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值