我试图在我的 Controller 上设置对方法的默认访问权限,因此我在我的 ApiController 上添加了 [Authorize] 属性。
在大多数情况下,除非用 [AllowAnonymous] 属性覆盖,否则它工作正常。
现在我想在混音中添加另一个级别。默认情况下,对于我的授权方法,我希望它们需要特定角色(例如管理员),因此我将 Controller 级别的属性更新为 [Authorize(roles="admin")]。对于少数异常(exception)情况,我不关心它们是什么角色(只要经过身份验证就足够了)。
我认为我可以坚持在 Controller 级别设置 Authorize 属性并在单个方法级别覆盖它,但这似乎与 [AllowAnonymous] 的工作方式不同。
有没有关于如何解决这个问题而不必记住用默认访问级别装饰每个新方法的建议?像 [Authorize(roles="*")] 这样的东西?即使我需要一个默认角色,每个 用户都是 AuthenticatedUsers 的一部分,这也很好。
最佳答案
如何创建一个标记属性? AllowAnonymous 就是这样一种标记,顺便说一句。创建您自己的授权属性并在标记存在时清除角色。
[MyAuth(Roles = "admin")]
public class ValuesController : ApiController
{
[ExemptRoles]
public IEnumerable<string> Get()
{
return new string[] { "value1", "value2" };
}
}
public class ExemptRolesAttribute : Attribute { }
public class MyAuthAttribute : AuthorizeAttribute
{
public override void OnAuthorization(System.Web.Http.Controllers.HttpActionContext actionContext)
{
if (actionContext.ActionDescriptor.GetCustomAttributes<ExemptRolesAttribute>().Any())
base.Roles = String.Empty;
base.OnAuthorization(actionContext);
}
}
关于c# - Controller 级别的默认授权角色和方法覆盖,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/16430169/