WebApi授权拦截——重写AuthorizeAttribute

最新推荐文章于 2023-04-28 14:20:20 发布
最新推荐文章于 2023-04-28 14:20:20 发布
阅读量1.2k 收藏 2
点赞数
文章标签: json c# 测试
原文链接:http://www.cnblogs.com/duanxian/p/5712680.html
版权
    跟mvc一样,webapi大多通过附加Authorize特性来实现授权,Authorize当授权失败时返回状态码:401。一般系统状态为401时,服务端就Redirect重定向到登录页。
    问题来了,我们的webapi在为富客户端ajax提供服务时,合理的做法是无论服务端发生什么情况,都尽可能给客户端返回json,才方便ajax回调函数解析。而重定向到登录了,则将返回登录页的一串html,ajax回调函数就傻傻的分不清楚啦。
    当然,解决办法是有的,思路为:重写Authorize的HandleUnauthorizedRequest,让服务端返回json,并且把状态码401改为其他状态码来避免被重定向。最合理的是改为403,表示服务器拒绝。
重写Authorize有以下几个要点需注意:
  1. HandleUnauthorizedRequest中基类方法已经将Response的状态设为”HttpStatusCode.Unauthorized(即401)“,重写时手请动改为”HttpStatusCode.Forbidden(即403)“,否则按401状态往下执行,就要被重定向到登录页;
  2. webApi下的授权筛选attribute为System.Web.Http.AuthorizeAttribute,而Mvc下用的是System.Web.Mvc.AuthorizeAttribute。这里别继承错了,否则授权筛选attrbute拦截不了。
  3. WebApi下Authorize.HandleUnauthorizedRequest的参数filterContext在此上下文里response还为空,需要手动创建。
    
以下是我重写的Authorize: 
 1  /// <summary>
 2     /// 重写实现处理授权失败时返回json,避免跳转登录页
 3     /// </summary>
 4     public class ApiAuthorize : AuthorizeAttribute
 5     {
 6         protected override void HandleUnauthorizedRequest(HttpActionContext filterContext)
 7         {
 8             base.HandleUnauthorizedRequest(filterContext);
 9 
10             var response = filterContext.Response = filterContext.Response ?? new HttpResponseMessage();
11             response.StatusCode = HttpStatusCode.Forbidden;
12             var content = new Result
13             {
14                 success = false,
15                 errs = new[] { "服务端拒绝访问:你没有权限,或者掉线了" }
16             };
17             response.Content = new StringContent(Json.Encode(content), Encoding.UTF8, "application/json");
18         }
19     }

运行结果:
 
 
chrome下查看返回状态:
 
 
 
Demo已经上传,需要的朋友请点击下载: 示例源码
 

转载于:https://www.cnblogs.com/duanxian/p/5712680.html

weixin_30507269
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
MVC中全局错误拦截记录日志,WebApi中全局错误拦截以及授权验证401,jquery cors 跨域
深南大道
09-18 1990
using Magic.Tool; using System; using System.Web; using System.Web.Mvc; using System.Web.Routing; //MVC中全局错误拦截 namespace Magic.Mvc { public class MvcApplication : System.Web.HttpApplication ...
当发请求时出现 401,原来可以这样解决,还不赶快学起来
热门推荐
m0_64564920的博客
04-06 1万+
在我们写页面的时候,难免会遇到 401 这个情况,那咋解决呢?不慌,我这里有两个方法可以解决,来看看是哪种方法吧
ASP.NET WEBAPI 的身份验证和授权
weixin_33912638的博客
07-28 2029
定义 身份验证(Authentication):确定用户是谁。 授权(Authorization):确定用户能做什么,不能做什么。 身份验证 WebApi 假定身份验证发生在宿主程序称中。对于 web-hosting,宿主是 IIS。这种情况下使用 HTTP Module 进行验证。 验证时,宿主会创建一个表示安全上下文的主体对象(实现 IPrincipal),将它附加到当前线程。主体对...
WebApi过滤器:AuthorizationFilterAttribute -> ActionFilterAttribute -> ExceptionFilterAttribute
Ling、bug
10-21 4075
一、权限认证过滤器: public class AuthFilterAttribute : AuthorizationFilterAttribute { public override void OnAuthorization(HttpActionContext actionContext) { //如果用户方位的Action带有...
【转】WebApi 身份认证解决方案:Basic基础认证
sinolover的专栏
11-20 725
参考路径:https://www.cnblogs.com/landeanfen/p/5287064.html 前言:最近,讨论到数据库安全的问题,于是就引出了WebApi服务没有加任何验证的问题。也就是说,任何人只要知道了接口的url,都能够模拟http请求去访问我们的服务接口,从而去增删改查数据库,这后果想想都恐怖。经过一番折腾,总算是加上了接口的身份认证,在此记录下,也给需要做身份认证的园友们提供参考。 一、为什么需要身份认证 在前言里面,我们说了,如果没有启用身份认证,那么任何匿名用户只要.
.NET6平台开发WebApi-使用JWT进行用户鉴权和测试源码
02-21
1.用.Net6平台WebApi项目开发 2.使用jwt给用户颁发密钥 3.swagger验证配置 4.接口jwt验证密钥方法 5.运行就能使用
C#进阶系列 WebApi身份认证解决方案推荐:Basic基础认证
09-02
C#进阶系列:WebApi身份认证解决方案推荐——Basic基础认证】 在Web开发中,尤其是在涉及API服务时,确保接口的安全性至关重要。C#WebApi提供了多种身份验证方式,其中Basic认证是一种简单但实用的策略。本文将...
MVC权限控制小例子(重写AuthorizeAttribute
03-12
通过重写AuthorizeAttribute实现对不同控制器的访问权限,比较简单的一个,你也可以加上自己的一些内容
C#进阶系列--WebApi
08-23
C#进阶系列——WebApi 路由机制剖析:你准备好了吗? ................................................................................................... 3 一、MVC和WebApi路由机制比较 .......................
重写AuthorizeAttribute实现自己的权限验证
az44yao的专栏
03-26 6314
一个简单的WinForm权限设计 http://www.cnblogs.com/lnwuyaowei/articles/722558.html 浅谈C# WinForm中实现基于角色的权限菜单 http://blog.csdn.net/CodingMouse/article/details/3515969 Winform开发框架之权限管理系统 http://www.cnb
webapi之owin的oauth2.0密码模式_01概述
weixin_33963594的博客
06-23 316
一般在webapi接口中,为了防止接口被随意调用,都会验证用户身份。 然而不能每次调用接口都需要用户输入用户名密码来验证,这时就需要授权颁发令牌了,持有令牌就可以访问接口,接口也能验证令牌身份。 简单流程 1、新建一个webapi项目,添加以下nuget包 Microsoft.Owin.Security.OAuth Microsoft.AspNet.WebApi.Owin Micr...
WebAPi接口安全之公钥私钥加密
xv7676的博客
04-28 1128
随着各种设备的兴起,WebApi作为服务也越来越流行。而在无任何保护措施的情况下接口完全暴露在外面,将导致被恶意请求。最近项目的项目中由于提供给APP的接口未对接口进行时间防范导致短信接口被怒对造成一定的损失,临时的措施导致PC和app的防止措施不一样导致后来前端调用相当痛苦,选型过oauth,https,当然都被上级未通过,那就只能自己写了,就很,,ԾㅂԾ,,。下面就此次的方式做一次记录。最终的效果:传输过程中都是密文,别人拿到请求串不能更改请求参数,通过接口过期时间防止同一请求串一直被调用。
WebAPIAuthorizeAttribute扩展类中获取POST提交的数据
乐天zhifengfly的专栏
07-06 4126
WEBAPI中,AuthorizeAttribute重写时,如何获取post数据是个难题,网上找资料也不好使,只能自己研究,通过研究发现,WEBAPI给了我们获取POST数据的可能,下面介绍一下: //将POST数据以字符串的形式读取,例如post的json数据,就可以以这种方式读取 actionContext.Request.Content.ReadAsStringAsync(...
170611-webapiAuthorizeAttribute验证
weixin_30897233的博客
06-11 337
记住AuthorizeAttribute 是System.Web.Http下面的而不是System.Web.mvc 请不要入坑 转载于:https://www.cnblogs.com/wh123/p/6984872.html
关于Web api授权的问题
xiao5的博客
04-29 1960
最近在做Web api接口,因为之前没做过也没用过,所以前期遇到了很多问题,尤其是授权这块,因此写下这篇文档记录一下。 好了不多说,直接开始 首先要先 继承using System.Web.Http webapi授权的时候要重写AuthorizeAttribute里的OnAuthorization方法 [AttributeUsageAttribute(AttributeTargets
第五节:WebApi的三大过滤器
sinolover的专栏
02-15 1037
一. 基本说明 1. 简介:   WebApi下的过滤器和MVC下的过滤器有一些区别,首先我们要注意的是通常建WebApi项目时,会自动把MVC的程序集也引入进来,所以我们在使用WebApi下的过滤器的时候,要引入“ System.Web.Http”这个程序集,而不是MVC的“System.Web.MVC”。 PS:关于WebApi下的过滤器在的作用位置和使用方法以及执行顺序,均和MVC...
关于.Net WebAPI数据认证(包括登陆认证、模型认证)
weixin_30650859的博客
08-29 235
1、登陆认证使用WebAPI自动认证   webApi自动认证继承类:AuthorizeAttribute     自动认证类使用在控制器上 [Authentication] public class CardController : BasisController { } View Code     主要重写二个方法   ...
ASP.NET webapi 登录登出
最新发布
05-18
WebAPI 中实现登录和注销功能,需要涉及到用户认证和授权的相关知识。 下面是一个简单的 ASP.NET WebAPI 登录和注销的示例: 1. 首先需要创建一个控制器,例如名为 `AccountController` 的控制器。 2. 在 `...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值