在.NET中有两个AuthorizeAttribute类,

一个定义在System.Web.Http命名空间下

#region 程序集 System.Web.Http, Version=5.2.3.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35

// E:\src\packages\Microsoft.AspNet.WebApi.Core.5.2.3\lib\net45\System.Web.Http.dll

#endregion

using System.Web.Http.Controllers;

using System.Web.Http.Filters;

namespace System.Web.Http

{

    //

    // 摘要:

    //     指定用于验证请求的 System.Security.Principal.IPrincipal 的授权筛选器。

    [AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, Inherited = true, AllowMultiple = true)]

    public class AuthorizeAttribute : AuthorizationFilterAttribute

    {

        //

        // 摘要:

        //     初始化 System.Web.Http.AuthorizeAttribute 类的新实例。

        public AuthorizeAttribute();

        //

        // 摘要:

        //     获取或设置授权角色。

        //

        // 返回结果:

        //     角色字符串。

        public string Roles { get; set; }

        //

        // 摘要:

        //     获取此特性的唯一标识符。

        //

        // 返回结果:

        //     此特性的唯一标识符。

        public override object TypeId { get; }

        //

        // 摘要:

        //     获取或设置授权用户。

        //

        // 返回结果:

        //     用户字符串。

        public string Users { get; set; }

        //

        // 摘要:

        //     为操作授权时调用。

        //

        // 参数:

        //   actionContext:

        //     上下文。

        //

        // 异常:

        //   T:System.ArgumentNullException:

        //     上下文参数为 null。

        public override void OnAuthorization(HttpActionContext actionContext);

        //

        // 摘要:

        //     处理授权失败的请求。

        //

        // 参数:

        //   actionContext:

        //     上下文。

        protected virtual void HandleUnauthorizedRequest(HttpActionContext actionContext);

        //

        // 摘要:

        //     指示指定的控件是否已获得授权。

        //

        // 参数:

        //   actionContext:

        //     上下文。

        //

        // 返回结果:

        //     如果控件已获得授权,则为 true;否则为 false。

        protected virtual bool IsAuthorized(HttpActionContext actionContext);

    }

}

另一个在System.Web.Mvc命名空间下

#region 程序集 System.Web.Mvc, Version=5.2.3.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35

// E:\src\packages\Microsoft.AspNet.Mvc.5.2.3\lib\net45\System.Web.Mvc.dll

#endregion

namespace System.Web.Mvc

{

    //

    // 摘要:

    //     指定对控制器或操作方法的访问只限于满足授权要求的用户。

    [AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, Inherited = true, AllowMultiple = true)]

    public class AuthorizeAttribute : FilterAttribute, IAuthorizationFilter

    {

        //

        // 摘要:

        //     初始化 System.Web.Mvc.AuthorizeAttribute 类的新实例。

        public AuthorizeAttribute();

        //

        // 摘要:

        //     获取或设置有权访问控制器或操作方法的用户角色。

        //

        // 返回结果:

        //     有权访问控制器或操作方法的用户角色。

        public string Roles { get; set; }

        //

        // 摘要:

        //     获取此特性的唯一标识符。

        //

        // 返回结果:

        //     此特性的唯一标识符。

        public override object TypeId { get; }

        //

        // 摘要:

        //     获取或设置有权访问控制器或操作方法的用户。

        //

        // 返回结果:

        //     有权访问控制器或操作方法的用户。

        public string Users { get; set; }

        //

        // 摘要:

        //     在过程请求授权时调用。

        //

        // 参数:

        //   filterContext:

        //     筛选器上下文,它封装有关使用 System.Web.Mvc.AuthorizeAttribute 的信息。

        //

        // 异常:

        //   T:System.ArgumentNullException:

        //     filterContext 参数为 null。

        public virtual void OnAuthorization(AuthorizationContext filterContext);

        //

        // 摘要:

        //     重写时,提供一个入口点用于进行自定义授权检查。

        //

        // 参数:

        //   httpContext:

        //     HTTP 上下文,它封装有关单个 HTTP 请求的所有 HTTP 特定的信息。

        //

        // 返回结果:

        //     如果用户已经过授权,则为 true;否则为 false。

        //

        // 异常:

        //   T:System.ArgumentNullException:

        //     httpContext 参数为 null。

        protected virtual bool AuthorizeCore(HttpContextBase httpContext);

        //

        // 摘要:

        //     处理未能授权的 HTTP 请求。

        //

        // 参数:

        //   filterContext:

        //     封装有关使用 System.Web.Mvc.AuthorizeAttribute 的信息。filterContext 对象包括控制器、HTTP 上下文、请求上下文、操作结果和路由数据。

        protected virtual void HandleUnauthorizedRequest(AuthorizationContext filterContext);

        //

        // 摘要:

        //     在缓存模块请求授权时调用。

        //

        // 参数:

        //   httpContext:

        //     HTTP 上下文,它封装有关单个 HTTP 请求的所有 HTTP 特定的信息。

        //

        // 返回结果:

        //     对验证状态的引用。

        //

        // 异常:

        //   T:System.ArgumentNullException:

        //     httpContext 参数为 null。

        protected virtual HttpValidationStatus OnCacheAuthorization(HttpContextBase httpContext);

    }

}

两者主要区别在于:

  • System.Web.Http 这个主要是用在Web Api

  • System.Web.Mvc 这个主要用在 ASP.NET MVC
  • System.Web.Http 版本中,传入参数为HttpActionContext 
    public override void OnAuthorization(HttpActionContext actionContext);

    System.Web.Mvc版本中,传入参数为AuthorizationContext

    public virtual void OnAuthorization(AuthorizationContext filterContext);

看似相同,但是在处理自定义权限的时候,两者思路相近实际实现方式上有很大的差别。

下面列出两种属性下获取Cookie的不同:

MVC:

public class Foo : AuthorizeAttribute

{

     public override void OnAuthorization(AuthorizationContext filterContext)

     {

          HttpCookie cookie = filterContext.HttpContext.Request.Cookies.Get("Bar");

     }

}

HTTP(Web Api):

public class Foo : AuthorizeAttribute

{

      public override void OnAuthorization(HttpActionContext actionContext)

      {

           var cookies = actionContext.Request.Headers.GetCookies("Bar").FirstOrDefault();

           var cookie = cookies["Bar"];

      }

}

还有就是自定义权限处理的时候,写法也不尽相同,后续文章会进行介绍

ASP.NET WebApi总结之自定义权限验证的更多相关文章

  1. springboot + 拦截器 + 注解 实现自定义权限验证

    springboot + 拦截器 + 注解 实现自定义权限验证最近用到一种前端模板技术:jtwig,在权限控制上没有用springSecurity.因此用拦截器和注解结合实现了权限控制. 1.1 定义 ...

  2. Asp.Net WebApi一个简单的Token验证

    1.前言: WebAPI主要开放数据给手机APP,Pad,其他需要得知数据的系统,或者软件应用.Web 用户的身份验证,及页面操作权限验证是B/S系统的基础功能.我上次写的<Asp.Net MV ...

  3. ASP.NET Core 下自定义权限验证

    效果图: 如果没有权限时,显示: 代码: public class AuthorizeAdminAttribute : TypeFilterAttribute { #region 字段 private ...

  4. webapi使用jwt做权限验证

    考虑到很多公司目前并没有切换到.netcore,所有本文尝试使用.netframework下的webapi 首先使用Nuget 安装 jwt包 安装完成后,创建 jwt的帮助类 public clas ...

  5. Asp.net Core 系列之--5.认证、授权与自定义权限的实现

    ChuanGoing 2019-11-24 asp.net core系列已经来到了第五篇,通过之前的基础介绍,我们了解了事件订阅/发布的eventbus整个流程,初探dapper ORM实现,并且简单 ...

  6. 自定义shiro实现权限验证方法isAccessAllowed

    由于Shiro filterChainDefinitions中 roles默认是and, admin= user,roles[system,general] 比如:roles[system,gener ...

  7. [Abp 源码分析]十一、权限验证

    0.简介 Abp 本身集成了一套权限验证体系,通过 ASP.NET Core 的过滤器与 Castle 的拦截器进行拦截请求,并进行权限验证.在 Abp 框架内部,权限分为两块,一个是功能(Featu ...

  8. springboot2.0整合springsecurity前后端分离进行自定义权限控制

    在阅读本文之前可以先看看springsecurity的基本执行流程,下面我展示一些核心配置文件,后面给出完整的整合代码到git上面,有兴趣的小伙伴可以下载进行研究 使用maven工程构建项目,首先需要 ...

  9. sa-token 之权限验证

    权限验证 核心思想 所谓权限验证,验证的核心就是当前账号是否拥有一个权限码 有:就让你通过.没有:那么禁止访问 再往底了说,就是每个账号都会拥有一个权限码集合,我来验证这个集合中是否包括我需要检测的那 ...

随机推荐

  1. 2.ehcache.xml简介

    转自:https://www.cnblogs.com/crazylqy/p/4238148.html ehcache.xml文件是用来定义Ehcache的配置信息的,更准确的来说它是定义CacheMa ...

  2. java中getAttribute和getParameter的区别

    getAttribute表示从request范围取得设置的属性,必须要先setAttribute设置属性,才能通过getAttribute来取得,设置与取得的为Object对象类型 getParame ...

  3. cannot nest '/dubboService/src/main/resources' inside '/dubboService/src/main' .To enable the nesting exclude '/resources' from '/dubboService/src/main'

    eclipse Maven--->update Project时出现以上错误: cannot nest '/dubboService/src/main/resources' inside '/d ...

  4. java.io.FileNotFoundException(系统找不到指定的路径。)

    报错:java.io.FileNotFoundException(系统找不到指定的路径.) 解决方法: 1.检查文件路径是否正确 2.另外,使用OutputStream时,如果文件不存在,会自动创建文 ...

  5. _MainTex_TexelSize what's the meaning?

    uniform float4 _MainTex_TexelSize where is the value of the float4 _MainTexelSize from? It's set by ...

  6. APP测试功能点总结

    1.功能性测试:   ——根据产品需求文档编写测试用例. ——软件设计文档编写用例.注意:就是根据产品需求文档编写测试用例而进行测试. 2.兼容性测试:   ——android版本的兼容性 ——手机分 ...

  7. 20-调用百度AI的文字识别

    本来准备自己写识别的,貌似现在能力不足,直接偷懒用百度的api吧 from aip import AipOcr """ 你的 APPID AK SK "&quo ...

  8. springMVC框架介绍以及运行流程(图解)

    1 Springmvc是什么? spring web mvc和struts2都属于表现层的框架,spring web mvc是spring框架的一部分(所以spring mvc与spring之间不需要 ...

  9. FIX protocol tutorial : Fix Session is not connecting how to diagnose it ?

    In this blog post of FIX protocol tutorial series I would like to share my experience with connectiv ...

  10. SQLServer获取临时表列名并判断指定列名是否存在

    if(OBJECT_ID('tempdb.dbo.#tempTB') is not null)begin drop table #tempTB;end create table #tempTB(ID ...