我有一个像这样的控制器:
[Authorize(Users="Admin")] public class MyController : Controller { ... [AllowAnonymous] public AllUsersAction() { } }
除了我确实想要授权AllUsersAction之外,只有所有授权用户都应该能够点击它,而不仅仅是管理员.
该怎么办?
编辑:我知道我可以授权整个控制器,并为管理员只能使用的所有操作提供更多限制.但我宁愿不把属性放在每一个动作上,而是一个.
这个问题可以更好地表达:如果目前不可能实现这种“极简主义”,那么实施会是什么样的?
解决方法
使用Authorize属性,不带控制器的任何参数:
[Authorize] public class MyController : Controller { ... public AllUsersAction() { } [Authorize(Users="Admin")] public ActionResult OnlyForAdmin() { } }
遗憾的是,只有当action具有AllowAnonymous属性时,控制器上的Authorize属性才会绕过授权.幸运的是,如果action有自己的Authorize属性,你可以覆盖Authorize属性的OnAuthorization方法以跳过控制器中的授权检查Authorize属性:
public class CustomAuthorize : AuthorizeAttribute { public override void OnAuthorization(AuthorizationContext filterContext) { if(filterContext.ActionDescriptor.IsDefined(typeof(AuthorizeAttribute),true)) { //skip authorization check if action has Authorize attribute return; } base.OnAuthorization(filterContext); } }
您可以在示例中使用此CustomAuthorize:
[CustomAuthorize(Users="Admin")] public class MyController : Controller { ... [Authorize] public AllUsersAction() { } }
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。