在.NET中有两个AuthorizeAttribute类,

一个定义在System.Web.Http命名空间下

#region 程序集 System.Web.Http, Version=5.2.3.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35

// E:\src\packages\Microsoft.AspNet.WebApi.Core.5.2.3\lib\net45\System.Web.Http.dll

#endregion

using System.Web.Http.Controllers;

using System.Web.Http.Filters;

namespace System.Web.Http

{

    //

    // 摘要:

    //     指定用于验证请求的 System.Security.Principal.IPrincipal 的授权筛选器。

    [AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, Inherited = true, AllowMultiple = true)]

    public class AuthorizeAttribute : AuthorizationFilterAttribute

    {

        //

        // 摘要:

        //     初始化 System.Web.Http.AuthorizeAttribute 类的新实例。

        public AuthorizeAttribute();

        //

        // 摘要:

        //     获取或设置授权角色。

        //

        // 返回结果:

        //     角色字符串。

        public string Roles { get; set; }

        //

        // 摘要:

        //     获取此特性的唯一标识符。

        //

        // 返回结果:

        //     此特性的唯一标识符。

        public override object TypeId { get; }

        //

        // 摘要:

        //     获取或设置授权用户。

        //

        // 返回结果:

        //     用户字符串。

        public string Users { get; set; }

        //

        // 摘要:

        //     为操作授权时调用。

        //

        // 参数:

        //   actionContext:

        //     上下文。

        //

        // 异常:

        //   T:System.ArgumentNullException:

        //     上下文参数为 null。

        public override void OnAuthorization(HttpActionContext actionContext);

        //

        // 摘要:

        //     处理授权失败的请求。

        //

        // 参数:

        //   actionContext:

        //     上下文。

        protected virtual void HandleUnauthorizedRequest(HttpActionContext actionContext);

        //

        // 摘要:

        //     指示指定的控件是否已获得授权。

        //

        // 参数:

        //   actionContext:

        //     上下文。

        //

        // 返回结果:

        //     如果控件已获得授权,则为 true;否则为 false。

        protected virtual bool IsAuthorized(HttpActionContext actionContext);

    }

}

另一个在System.Web.Mvc命名空间下

#region 程序集 System.Web.Mvc, Version=5.2.3.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35

// E:\src\packages\Microsoft.AspNet.Mvc.5.2.3\lib\net45\System.Web.Mvc.dll

#endregion

namespace System.Web.Mvc

{

    //

    // 摘要:

    //     指定对控制器或操作方法的访问只限于满足授权要求的用户。

    [AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, Inherited = true, AllowMultiple = true)]

    public class AuthorizeAttribute : FilterAttribute, IAuthorizationFilter

    {

        //

        // 摘要:

        //     初始化 System.Web.Mvc.AuthorizeAttribute 类的新实例。

        public AuthorizeAttribute();

        //

        // 摘要:

        //     获取或设置有权访问控制器或操作方法的用户角色。

        //

        // 返回结果:

        //     有权访问控制器或操作方法的用户角色。

        public string Roles { get; set; }

        //

        // 摘要:

        //     获取此特性的唯一标识符。

        //

        // 返回结果:

        //     此特性的唯一标识符。

        public override object TypeId { get; }

        //

        // 摘要:

        //     获取或设置有权访问控制器或操作方法的用户。

        //

        // 返回结果:

        //     有权访问控制器或操作方法的用户。

        public string Users { get; set; }

        //

        // 摘要:

        //     在过程请求授权时调用。

        //

        // 参数:

        //   filterContext:

        //     筛选器上下文,它封装有关使用 System.Web.Mvc.AuthorizeAttribute 的信息。

        //

        // 异常:

        //   T:System.ArgumentNullException:

        //     filterContext 参数为 null。

        public virtual void OnAuthorization(AuthorizationContext filterContext);

        //

        // 摘要:

        //     重写时,提供一个入口点用于进行自定义授权检查。

        //

        // 参数:

        //   httpContext:

        //     HTTP 上下文,它封装有关单个 HTTP 请求的所有 HTTP 特定的信息。

        //

        // 返回结果:

        //     如果用户已经过授权,则为 true;否则为 false。

        //

        // 异常:

        //   T:System.ArgumentNullException:

        //     httpContext 参数为 null。

        protected virtual bool AuthorizeCore(HttpContextBase httpContext);

        //

        // 摘要:

        //     处理未能授权的 HTTP 请求。

        //

        // 参数:

        //   filterContext:

        //     封装有关使用 System.Web.Mvc.AuthorizeAttribute 的信息。filterContext 对象包括控制器、HTTP 上下文、请求上下文、操作结果和路由数据。

        protected virtual void HandleUnauthorizedRequest(AuthorizationContext filterContext);

        //

        // 摘要:

        //     在缓存模块请求授权时调用。

        //

        // 参数:

        //   httpContext:

        //     HTTP 上下文,它封装有关单个 HTTP 请求的所有 HTTP 特定的信息。

        //

        // 返回结果:

        //     对验证状态的引用。

        //

        // 异常:

        //   T:System.ArgumentNullException:

        //     httpContext 参数为 null。

        protected virtual HttpValidationStatus OnCacheAuthorization(HttpContextBase httpContext);

    }

}

两者主要区别在于:

  • System.Web.Http 这个主要是用在Web Api

  • System.Web.Mvc 这个主要用在 ASP.NET MVC
  • System.Web.Http 版本中,传入参数为HttpActionContext 
    public override void OnAuthorization(HttpActionContext actionContext);

    System.Web.Mvc版本中,传入参数为AuthorizationContext

    public virtual void OnAuthorization(AuthorizationContext filterContext);

看似相同,但是在处理自定义权限的时候,两者思路相近实际实现方式上有很大的差别。

下面列出两种属性下获取Cookie的不同:

MVC:

public class Foo : AuthorizeAttribute

{

     public override void OnAuthorization(AuthorizationContext filterContext)

     {

          HttpCookie cookie = filterContext.HttpContext.Request.Cookies.Get("Bar");

     }

}

HTTP(Web Api):

public class Foo : AuthorizeAttribute

{

      public override void OnAuthorization(HttpActionContext actionContext)

      {

           var cookies = actionContext.Request.Headers.GetCookies("Bar").FirstOrDefault();

           var cookie = cookies["Bar"];

      }

}

还有就是自定义权限处理的时候,写法也不尽相同,后续文章会进行介绍

ASP.NET WebApi总结之自定义权限验证的更多相关文章

  1. springboot + 拦截器 + 注解 实现自定义权限验证

    springboot + 拦截器 + 注解 实现自定义权限验证最近用到一种前端模板技术:jtwig,在权限控制上没有用springSecurity.因此用拦截器和注解结合实现了权限控制. 1.1 定义 ...

  2. Asp.Net WebApi一个简单的Token验证

    1.前言: WebAPI主要开放数据给手机APP,Pad,其他需要得知数据的系统,或者软件应用.Web 用户的身份验证,及页面操作权限验证是B/S系统的基础功能.我上次写的<Asp.Net MV ...

  3. ASP.NET Core 下自定义权限验证

    效果图: 如果没有权限时,显示: 代码: public class AuthorizeAdminAttribute : TypeFilterAttribute { #region 字段 private ...

  4. webapi使用jwt做权限验证

    考虑到很多公司目前并没有切换到.netcore,所有本文尝试使用.netframework下的webapi 首先使用Nuget 安装 jwt包 安装完成后,创建 jwt的帮助类 public clas ...

  5. Asp.net Core 系列之--5.认证、授权与自定义权限的实现

    ChuanGoing 2019-11-24 asp.net core系列已经来到了第五篇,通过之前的基础介绍,我们了解了事件订阅/发布的eventbus整个流程,初探dapper ORM实现,并且简单 ...

  6. 自定义shiro实现权限验证方法isAccessAllowed

    由于Shiro filterChainDefinitions中 roles默认是and, admin= user,roles[system,general] 比如:roles[system,gener ...

  7. [Abp 源码分析]十一、权限验证

    0.简介 Abp 本身集成了一套权限验证体系,通过 ASP.NET Core 的过滤器与 Castle 的拦截器进行拦截请求,并进行权限验证.在 Abp 框架内部,权限分为两块,一个是功能(Featu ...

  8. springboot2.0整合springsecurity前后端分离进行自定义权限控制

    在阅读本文之前可以先看看springsecurity的基本执行流程,下面我展示一些核心配置文件,后面给出完整的整合代码到git上面,有兴趣的小伙伴可以下载进行研究 使用maven工程构建项目,首先需要 ...

  9. sa-token 之权限验证

    权限验证 核心思想 所谓权限验证,验证的核心就是当前账号是否拥有一个权限码 有:就让你通过.没有:那么禁止访问 再往底了说,就是每个账号都会拥有一个权限码集合,我来验证这个集合中是否包括我需要检测的那 ...

随机推荐

  1. Request模块(八)

    Requests: 让 HTTP 服务人类 虽然Python的标准库中 urllib2 模块已经包含了平常我们使用的大多数功能,但是它的 API 使用起来让人感觉不太好,而 Requests 自称 “ ...

  2. react之echarts数据更新

    react之echarts数据更新 在使用setState更新数据时,如果要将图标更新,需要做一些简单的封装,代码如下: import React, { Component } from 'react ...

  3. DBNavigator中把insert变为append

    procedure TForm1.DBNavigator1Click(Sender: TObject; Button: TNavigateBtn);begin    if Button = nbIns ...

  4. centos7 二进制安装MySQL5.7.22

    1.详细描安装的过程 1.1关闭防火墙 systemctl stop firewalld.service #停止firewall systemctl disable firewalld.service ...

  5. ACM Dance Recital(dfs+剪枝)

    The Production Manager of a dance company has been tasked with determining the cost for the seasonal ...

  6. 一个简单的MVVM雏形

    这是@尚春实现的MVVM,使用定时器轮询,只支持{{}}与input.value的修改. 这只能算是一个玩具,真正的MVVM需要有更复杂的扫描机制,JS解析器,双向绑定链什么的. <!DOCTY ...

  7. Python与Go快速排序

    #!/usr/bin/env python # -*- coding: utf-8 -*- # 快速排序 # 时间复杂度 O(n lgn)-- O(n^2) def quick_sort(array) ...

  8. 每月IT摘录201806

    一.技术 1.架构师的技术升级要点:用两个字来描述:集群,用三个字:分布式,再用多点的文字:把海量的流量和数据合理分摊到数量合适的机器上. 想明白这点,后面就能知道该学哪些了,比如流量分摊时得负载均衡 ...

  9. golang之map数据类型

    先上代码…… package main import "fmt" func testMap() { //两种声明map方式,切记,必须初始化才能用,否则panic //var a ...

  10. [mongoDB] mongoDb

    mongodb memcached redis        kv数据库(key/value) mongodb 文档数据库,存储的是文档(Bson->json的二进制化). 特点:内部执行引擎为 ...