自定义AuthorizeAttribute

最新推荐文章于 2020-06-09 10:46:17 发布
最新推荐文章于 2020-06-09 10:46:17 发布
阅读量1k 收藏
点赞数
分类专栏: MVC Framework 文章标签: authentication mvc module asp.net string class
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shanyou/article/details/5501941
版权

网站的权限判断是一个非常普遍的需求,从文章ASP.NET MVC的Action Filter中我们知道实现这样的需求只要从AuthorizeAttribute集成,重写相关的判断逻辑就可以了。这里记录一下:

namespace TokenAcl.Web.Helper
{
    public class TokenAclAuthorizeAttribute : AuthorizeAttribute
    {
        protected override bool AuthorizeCore(HttpContextBase httpContext)
        {
            bool result = false;
            if (httpContext == null)
            {
                throw new ArgumentNullException("httpContext");
            }
            string[] users = Users.Split(',');
            string[] roles = Roles.Split(',');
            if (!httpContext.User.Identity.IsAuthenticated)
                return false;
            if (roles.Length != 0)
            {
                List<Role> rightRoles = RightClient.GetAllRole(TakenAclMenu.SystemID, TakenAclMenu.UserID);
                foreach (var role in roles)
                {
                    if (rightRoles.Where(x => x.Code == role).Count() > 0)
                    {
                        result = true;
                        break;
                    }
                }
            }
            if (!result)
            {
                httpContext.Response.StatusCode = 403;
            }
            return result;
        }

        public override void OnAuthorization(AuthorizationContext filterContext)
        {
            base.OnAuthorization(filterContext);
            if (filterContext.HttpContext.Response.StatusCode == 403)
            {
                filterContext.Result = new RedirectResult("/Admin/Dashboard");
            }
        }
    }
}

从AuthorizeAttribute继承过来实现了一个类TokenAclAuthorizeAttribute ,重写了方法AuthorizeCore,使用自己开发的权限系统进行权限的验证,如果没有通过认证,这表示没有权限访问,设置HTTP 状态代码为403。 这样还是不行,还得重写另一个方法OnAuthorization。AuthorizeCore方法返回false,MVC 此时将返回的ActionResult是HttpUnauthorizedResult:

public class HttpUnauthorizedResult : ActionResult {
public override void ExecuteResult(ControllerContext context) {
if (context == null) {
throw new ArgumentNullException("context");
            }
// 401 is the HTTP status code for unauthorized access - setting this
// will cause the active authentication module to execute its default
// unauthorized handler
            context.HttpContext.Response.StatusCode = 401;
        }
    }

从HttpUnauthorizedResult的源码可以看出,HttpUnauthorizedResult的执行很简单,就是设置当前的HttpContext.Response的状态码为401,这样就回激活authentication module 执行它默认的 unauthorized handler,也就是跳转到登陆页面的,这似乎也不符合逻辑,认证和授权应该是验证的两个方面。这不符合要求,用户已经登陆成功了,只是没有权限而已。我这里只是重写OnAuthorization方法,重定向到一个页面而已,也可以写一个ActionResult。

shanyou
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
asp.net MVCAuthorizeAttribute浅析
dietisi8980的博客
08-09 528
AuthorizeAttributeasp.net MVC的几大过滤器之一,俗称认证和授权过滤器,也就是判断登录与否,授权与否。当为某一个Controller或Action附加该特性时,没有登录或授权的账户是不能访问这些Controller或Action的。 在进入一个附加了Authorize特性的Controller或Action之前,首先执行的是AuthorizeAttribut...
AuthorizeAttribute.rar
05-15
ASP.NET mvc5 用过滤器验证用户登录与否,没登录则跳登录页面
如何在ASP.NET Core中创建自定义AuthorizeAttribute
p15097962069的博客
06-09 4359
I'm trying to make a custom authorization attribute in ASP.NET Core. 我正在尝试在ASP.NET Core中创建自定义授权属性。
c# mvc 自定义AuthorizeAttribute
czh4869623的专栏
12-30 6017
1)自定义AuthorizeAttribute using System; using System.Collections.Generic; using System.Linq; using System.Web; using System.Web.Mvc; namespace WebApplication50.Controllers { public class LintwayAu
解决自定义AuthorizeAttribute实现授权管理,AllowAnonymous属性失效导致无法匿名访问控制器的问题
热门推荐
jac.song的专栏
09-21 1万+
ASP.NET MVC项目中,一般都要使用身份验证和权限控制,但总有部分网页是可以匿名访问的。使用AllowAnonymous属性就可以指定需要匿名访问的控制器,从而跳过身份验证。 但是今天实现自定义AuthorizeAttribute却遇到了AllowAnonymous属性失效的问题,即使我在控制器、方法上声明AllowAnonymous也依然无法匿名访问,全都需要登陆后才可访问。 nam
MVC权限控制小例子(重写AuthorizeAttribute
03-12
通过重写AuthorizeAttribute实现对不同控制器的访问权限,比较简单的一个,你也可以加上自己的一些内容
WebApi授权拦截——重写AuthorizeAttribute
08-12
webapi重写Authorize的HandleUnauthorizedRequest,让服务端返回json,并且把401改为其他状态码来避免被重定向
扩展MVC AuthorizeAttribute的行为以基于活动的授权
04-01
扩展MVC AuthorizeAttribute的行为以进行基于活动的授权
MVC自定义权限控制示例代码
01-12
MVC自定义权限控制示例代码,一个小样例,通过继承MVC框架中的AuthorizeAttribute自定义权限。
重写AuthorizeAttribute实现自己的权限验证
Robert0102
09-21 1943
MVC系统开发中,难免会遇到权限验证问题,解决这个问题的方法很多,这里使用自定义AuthorizeAttribute来实现,代码如下: public class MyAuthorizeAttribute : AuthorizeAttribute { protected override bool AuthorizeCore(H
ASP.NET MVC 2 Authorize - 自定义Authorize的实现
董文枭 老人的陋室
03-10 1万+
ASP.NET MVC 2 Authorize - 自定义Authorize的实现本文主要是转载的,通过这个小例子可以轻松自定义你的Authorize权限控制,因为我不是特别了解ASP.NET WebForm的MemberShip的实现机制,也不敢说自定义的性能是否过关,目前使用自定义的比较顺手。转自:===================================================================== 在ASP.NET MVC2中使用自定义AuthorizeAttri
MVC用户权限管理AuthorizeAttribute
仰望星空的博客
02-15 2400
一、权限     public  class UserAuthority     {         public static string Admin { get; set; }     }     二、cs代码     [HttpPost]         public ActionResult Index(User user)         {            
权限验证AuthorizeAttribute
weixin_30435261的博客
05-29 268
/// <summary> /// 权限验证属性。 /// </summary> public class AuthorizeExAttribute : AuthorizeAttribute { /// <summary> /// 初始化权限验证。 /// &lt...
角色限制(AuthorizeAttribute
qiaozhu8343的博客
03-08 1211
首选,我看网上很多说System.Web.Mvc.AuthorizeAttribute的,有的只讲了用法,内部方法没有讲清,还有的说的太专业对于底层研究不深的朋友很不友好,因为这篇只是根据本人的胃口对MVC的这个组件进行整理 1.在网上看的资料 说以下的两块代码是 AuthorizeAttribute中,OnAuthorization和AuthorizeCore方法的源码 ,是不是源码我不清楚...
【小5聊】Asp.Net MVC 异常处理、权限处理、行为处理重写自定义
小5聊的博客
03-27 466
1、重写异常处理方法 关键词:HandleErrorAttribute、OnException、override //自定义一个集成了错误处理,并重写的方法 public class NewNameHandleErrorAttribute : HandleErrorAttribute { public override void OnException(ExceptionC...
Asp.Net Core AuthorizeAttributeAuthorizeFilter 跟进及源码解读
Jlion 技术博客
03-25 2823
一、前言 IdentityServer4已经分享了一些应用实战的文章,从架构到授权中心的落地应用,也伴随着对IdentityServer4掌握了一些使用规则,但是很多原理性东西还是一知半解,故我这里持续性来带大家一起来解读它的相关源代码,本文先来看看为什么Controller或者Action中添加Authorize或者全局中添加AuthorizeFilter过滤器就可以实现该资源受到保护,需要通过...
AuthorizeAttribute 在 .NET6使用
最新发布
07-13
在 .NET 6 中,`AuthorizeAttribute` 仍然是用于进行... // 配置自定义策略 // ... }); }); // ... } ``` 请根据你的具体需求进行适当的配置和调整。希望这些信息对你有所帮助!如果你有更多问题,欢迎继续提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值