Tôi có một lớp cơ sở bộ điều khiển MVC mà trên đó tôi đã áp dụng thuộc tính Authorize vì tôi muốn hầu hết tất cả các bộ điều khiển (và các hành động của chúng cùng) được cấp phép.
Tuy nhiên, tôi cần có bộ điều khiển và hành động của bộ điều khiển khác trái phép. Tôi muốn có thể trang trí chúng bằng [Authorize(false)]hoặc thứ gì đó nhưng điều này không có sẵn.
Có ý kiến gì không?
Câu trả lời:
Chỉnh sửa: Vì ASP.NET MVC 4, cách tiếp cận tốt nhất chỉ đơn giản là sử dụng thuộc tính AllowAnonymous được tích hợp sẵn .
Câu trả lời bên dưới đề cập đến các phiên bản trước của ASP.NET MVC
Bạn có thể tạo thuộc tính ủy quyền tùy chỉnh kế thừa từ AuthorizeAttribute tiêu chuẩn với thông số bool tùy chọn để chỉ định xem ủy quyền có cần thiết hay không.
public class OptionalAuthorizeAttribute : AuthorizeAttribute
{
private readonly bool _authorize;
public OptionalAuthorizeAttribute()
{
_authorize = true;
}
public OptionalAuthorizeAttribute(bool authorize)
{
_authorize = authorize;
}
protected override bool AuthorizeCore(HttpContextBase httpContext)
{
if(!_authorize)
return true;
return base.AuthorizeCore(httpContext);
}
}
Sau đó, bạn có thể trang trí bộ điều khiển cơ sở của mình với thuộc tính đó:
[OptionalAuthorize]
public class ControllerBase : Controller
{
}
và đối với bất kỳ bộ điều khiển nào bạn không muốn ủy quyền, chỉ cần sử dụng ghi đè bằng 'false' - ví dụ:
[OptionalAuthorize(false)]
public class TestController : ControllerBase
{
public ActionResult Index()
{
return View();
}
}
[AllowAnonymous]thuộc tính.
Có vẻ như ASP.NET MVC 4 đã 'khắc phục' điều này bằng cách thêm thuộc tính AllowAnonymous .
David Hayden đã viết về điều này :
[Authorize]
public class AccountController : Controller
{
[AllowAnonymous]
public ActionResult Login()
{
// ...
}
// ...
}
Cá nhân tôi đảm nhận việc này là tách bộ điều khiển. Chỉ cần tạo một bộ điều khiển khác Đối với các hành động bạn không cần xác thực.
Hoặc bạn có thể có:
BaseController
không yêu cầu xác thực - ở đây bạn có tất cả "công cụ cơ sở" của mình :).
BaseAuthController : BaseController
tất cả các hành động ở đây yêu cầu xác thực.
Bằng cách đó, bạn có thể có xác thực khi bạn muốn, chỉ bằng cách lấy từ một lớp cụ thể.
Nếu bạn chỉ muốn một hành động không được phép trên một bộ điều khiển được ủy quyền khác, bạn có thể làm như sau:
public class RequiresAuthorizationAttribute : ActionFilterAttribute
{
private readonly bool _authorize;
public RequiresAuthorizationAttribute()
{
_authorize = true;
}
public RequiresAuthorizationAttribute(bool authorize)
{
_authorize = authorize;
}
public override void OnActionExecuting(ActionExecutingContext filterContext)
{
var overridingAttributes = filterContext.ActionDescriptor.GetCustomAttributes(typeof (RequiresAuthorizationAttribute), false);
if (overridingAttributes.Length > 0 && overridingAttributes[0] as RequiresAuthorizationAttribute != null && !((RequiresAuthorizationAttribute)overridingAttributes[0])._authorize)
return;
if (_authorize)
{
//redirect if not authenticated
if (!filterContext.HttpContext.User.Identity.IsAuthenticated)
{
//use the current url for the redirect
var redirectOnSuccess = filterContext.HttpContext.Request.Url.AbsolutePath;
//send them off to the login page
//var redirectUrl = string.Format("?RedirectUrl={0}", redirectOnSuccess);
var loginUrl = LinkBuilder.BuildUrlFromExpression<HomeController>(filterContext.RequestContext, RouteTable.Routes,
x => x.Login(redirectOnSuccess));
filterContext.HttpContext.Response.Redirect(loginUrl, true);
}
}
}
}