在.NET中有两个AuthorizeAttribute类,

一个定义在System.Web.Http命名空间下

#region 程序集 System.Web.Http, Version=5.2.3.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35

// E:\src\packages\Microsoft.AspNet.WebApi.Core.5.2.3\lib\net45\System.Web.Http.dll

#endregion

using System.Web.Http.Controllers;

using System.Web.Http.Filters;

namespace System.Web.Http

{

    //

    // 摘要:

    //     指定用于验证请求的 System.Security.Principal.IPrincipal 的授权筛选器。

    [AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, Inherited = true, AllowMultiple = true)]

    public class AuthorizeAttribute : AuthorizationFilterAttribute

    {

        //

        // 摘要:

        //     初始化 System.Web.Http.AuthorizeAttribute 类的新实例。

        public AuthorizeAttribute();

        //

        // 摘要:

        //     获取或设置授权角色。

        //

        // 返回结果:

        //     角色字符串。

        public string Roles { get; set; }

        //

        // 摘要:

        //     获取此特性的唯一标识符。

        //

        // 返回结果:

        //     此特性的唯一标识符。

        public override object TypeId { get; }

        //

        // 摘要:

        //     获取或设置授权用户。

        //

        // 返回结果:

        //     用户字符串。

        public string Users { get; set; }

        //

        // 摘要:

        //     为操作授权时调用。

        //

        // 参数:

        //   actionContext:

        //     上下文。

        //

        // 异常:

        //   T:System.ArgumentNullException:

        //     上下文参数为 null。

        public override void OnAuthorization(HttpActionContext actionContext);

        //

        // 摘要:

        //     处理授权失败的请求。

        //

        // 参数:

        //   actionContext:

        //     上下文。

        protected virtual void HandleUnauthorizedRequest(HttpActionContext actionContext);

        //

        // 摘要:

        //     指示指定的控件是否已获得授权。

        //

        // 参数:

        //   actionContext:

        //     上下文。

        //

        // 返回结果:

        //     如果控件已获得授权,则为 true;否则为 false。

        protected virtual bool IsAuthorized(HttpActionContext actionContext);

    }

}

另一个在System.Web.Mvc命名空间下

#region 程序集 System.Web.Mvc, Version=5.2.3.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35

// E:\src\packages\Microsoft.AspNet.Mvc.5.2.3\lib\net45\System.Web.Mvc.dll

#endregion

namespace System.Web.Mvc

{

    //

    // 摘要:

    //     指定对控制器或操作方法的访问只限于满足授权要求的用户。

    [AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, Inherited = true, AllowMultiple = true)]

    public class AuthorizeAttribute : FilterAttribute, IAuthorizationFilter

    {

        //

        // 摘要:

        //     初始化 System.Web.Mvc.AuthorizeAttribute 类的新实例。

        public AuthorizeAttribute();

        //

        // 摘要:

        //     获取或设置有权访问控制器或操作方法的用户角色。

        //

        // 返回结果:

        //     有权访问控制器或操作方法的用户角色。

        public string Roles { get; set; }

        //

        // 摘要:

        //     获取此特性的唯一标识符。

        //

        // 返回结果:

        //     此特性的唯一标识符。

        public override object TypeId { get; }

        //

        // 摘要:

        //     获取或设置有权访问控制器或操作方法的用户。

        //

        // 返回结果:

        //     有权访问控制器或操作方法的用户。

        public string Users { get; set; }

        //

        // 摘要:

        //     在过程请求授权时调用。

        //

        // 参数:

        //   filterContext:

        //     筛选器上下文,它封装有关使用 System.Web.Mvc.AuthorizeAttribute 的信息。

        //

        // 异常:

        //   T:System.ArgumentNullException:

        //     filterContext 参数为 null。

        public virtual void OnAuthorization(AuthorizationContext filterContext);

        //

        // 摘要:

        //     重写时,提供一个入口点用于进行自定义授权检查。

        //

        // 参数:

        //   httpContext:

        //     HTTP 上下文,它封装有关单个 HTTP 请求的所有 HTTP 特定的信息。

        //

        // 返回结果:

        //     如果用户已经过授权,则为 true;否则为 false。

        //

        // 异常:

        //   T:System.ArgumentNullException:

        //     httpContext 参数为 null。

        protected virtual bool AuthorizeCore(HttpContextBase httpContext);

        //

        // 摘要:

        //     处理未能授权的 HTTP 请求。

        //

        // 参数:

        //   filterContext:

        //     封装有关使用 System.Web.Mvc.AuthorizeAttribute 的信息。filterContext 对象包括控制器、HTTP 上下文、请求上下文、操作结果和路由数据。

        protected virtual void HandleUnauthorizedRequest(AuthorizationContext filterContext);

        //

        // 摘要:

        //     在缓存模块请求授权时调用。

        //

        // 参数:

        //   httpContext:

        //     HTTP 上下文,它封装有关单个 HTTP 请求的所有 HTTP 特定的信息。

        //

        // 返回结果:

        //     对验证状态的引用。

        //

        // 异常:

        //   T:System.ArgumentNullException:

        //     httpContext 参数为 null。

        protected virtual HttpValidationStatus OnCacheAuthorization(HttpContextBase httpContext);

    }

}

两者主要区别在于:

  • System.Web.Http 这个主要是用在Web Api

  • System.Web.Mvc 这个主要用在 ASP.NET MVC
  • System.Web.Http 版本中,传入参数为HttpActionContext 
    public override void OnAuthorization(HttpActionContext actionContext);

    System.Web.Mvc版本中,传入参数为AuthorizationContext

    public virtual void OnAuthorization(AuthorizationContext filterContext);

看似相同,但是在处理自定义权限的时候,两者思路相近实际实现方式上有很大的差别。

下面列出两种属性下获取Cookie的不同:

MVC:

public class Foo : AuthorizeAttribute

{

     public override void OnAuthorization(AuthorizationContext filterContext)

     {

          HttpCookie cookie = filterContext.HttpContext.Request.Cookies.Get("Bar");

     }

}

HTTP(Web Api):

public class Foo : AuthorizeAttribute

{

      public override void OnAuthorization(HttpActionContext actionContext)

      {

           var cookies = actionContext.Request.Headers.GetCookies("Bar").FirstOrDefault();

           var cookie = cookies["Bar"];

      }

}

还有就是自定义权限处理的时候,写法也不尽相同,后续文章会进行介绍

ASP.NET WebApi总结之自定义权限验证的更多相关文章

  1. springboot + 拦截器 + 注解 实现自定义权限验证

    springboot + 拦截器 + 注解 实现自定义权限验证最近用到一种前端模板技术:jtwig,在权限控制上没有用springSecurity.因此用拦截器和注解结合实现了权限控制. 1.1 定义 ...

  2. Asp.Net WebApi一个简单的Token验证

    1.前言: WebAPI主要开放数据给手机APP,Pad,其他需要得知数据的系统,或者软件应用.Web 用户的身份验证,及页面操作权限验证是B/S系统的基础功能.我上次写的<Asp.Net MV ...

  3. ASP.NET Core 下自定义权限验证

    效果图: 如果没有权限时,显示: 代码: public class AuthorizeAdminAttribute : TypeFilterAttribute { #region 字段 private ...

  4. webapi使用jwt做权限验证

    考虑到很多公司目前并没有切换到.netcore,所有本文尝试使用.netframework下的webapi 首先使用Nuget 安装 jwt包 安装完成后,创建 jwt的帮助类 public clas ...

  5. Asp.net Core 系列之--5.认证、授权与自定义权限的实现

    ChuanGoing 2019-11-24 asp.net core系列已经来到了第五篇,通过之前的基础介绍,我们了解了事件订阅/发布的eventbus整个流程,初探dapper ORM实现,并且简单 ...

  6. 自定义shiro实现权限验证方法isAccessAllowed

    由于Shiro filterChainDefinitions中 roles默认是and, admin= user,roles[system,general] 比如:roles[system,gener ...

  7. [Abp 源码分析]十一、权限验证

    0.简介 Abp 本身集成了一套权限验证体系,通过 ASP.NET Core 的过滤器与 Castle 的拦截器进行拦截请求,并进行权限验证.在 Abp 框架内部,权限分为两块,一个是功能(Featu ...

  8. springboot2.0整合springsecurity前后端分离进行自定义权限控制

    在阅读本文之前可以先看看springsecurity的基本执行流程,下面我展示一些核心配置文件,后面给出完整的整合代码到git上面,有兴趣的小伙伴可以下载进行研究 使用maven工程构建项目,首先需要 ...

  9. sa-token 之权限验证

    权限验证 核心思想 所谓权限验证,验证的核心就是当前账号是否拥有一个权限码 有:就让你通过.没有:那么禁止访问 再往底了说,就是每个账号都会拥有一个权限码集合,我来验证这个集合中是否包括我需要检测的那 ...

随机推荐

  1. python中模拟进行ssh命令的执行

    在进行socket编程的时候,可以实现远程执行命令,然后返回相关的结果,但是这种...很容易就把服务器搞挂了. 在这里需要用到commands模块,commands模块中有一个方法为getstatus ...

  2. 「小程序JAVA实战」小程序视频展示页开发(52)

    转自:https://idig8.com/2018/09/22/xiaochengxujavashizhanxiaochengxushipinzhanshiyekaifa51/ 这次说下,小程序的视频 ...

  3. notepad++ 行首行尾添加字符

    有一次要处理SQL,拿到了脚本.但是要将其写入java 代码中,要在行首和行尾添加上引号.利用notepad++进行编辑. $表示行尾,^表示行首. 如上图,就这样.很高效. 如果只是在行尾添加字符, ...

  4. col标签的相关实验

    col上有width属性,如果对应值没有单位,默认是像素 <!DOCTYPE html> <html> <head> <title>col相关实验< ...

  5. Multithread之为什么spinlock必须是volatile?

    [Multithread之为什么spinlock必须是volatile?] 1.编译器的优化 在本次线程内,当读取一个变量时,为提高存取速度,编译器优化时有时会先把变量读取到一个寄存器中:以后再取变量 ...

  6. the difference between fopen&open

    [the difference between fopen&open] fopen是C标准API,open是linux系统调用,层次上fopen基于open,在其之上.fopen有缓存,ope ...

  7. Leetcode:Add Two Numbers分析和实现

    Add Two Numbers这个问题的意思是,提供两条链表,每条链表表示一个十进制整数,其每一位对应链表的一个结点.比如345表示为链表5->4->3.而我们需要做的就是将两条链表代表的 ...

  8. Thrift 实现 JAVA,PHP,C#,Python 互相通信

    Thrift介绍   https://www.ibm.com/developerworks/cn/java/j-lo-apachethrift/index.html 首先需要下载 Thrift.exe ...

  9. exe怎么找main函数

    先说DEBUG版本的命令行EXE main函数有两种,第一种是int main(),第二种是int main(int argc,char* argv[]) 不管哪种只要查找j___p___argc就能 ...

  10. Laravel 文件上传失败的问题 error 7

    一个站点上传文件失败 error为7  UPLOAD_ERR_CANT_WRITE 临时文件上传不上  $_FILE打出来 Array(    [file] => Array        (  ...