Принудительный фильтр действий для всех действий контроллера (C # / ASP.NET MVC) - PullRequest
Новая
       41

Принудительный фильтр действий для всех действий контроллера (C # / ASP.NET MVC)

11 голосов
/ 28 августа 2009

Я создал новый фильтр действий (атрибут, аналогичный [Authorize]), который разрешает доступ к действию контроллера на основе значения сеанса. Тем не менее, я в основном украшаю все свои действия контроллера с этим атрибутом (за исключением очень немногих).

Итак, я подумал, что было бы лучше, чтобы этот фильтр действий всегда выполнялся за исключением в тех случаях, когда я присоединяю атрибут [ExemptFromAuthorize] к действию контроллера? (Может быть, через наследование моего собственного класса Controller?)

Как я могу это сделать?

Ответы [ 7 ]

7 голосов
/ 27 августа 2010

Проверьте мою статью о codeproject -

http://www.codeproject.com/KB/web-security/AuthorizeWithExemptions.aspx

В этой статье я предоставлю вам решение для защиты контроллеров приложения ASP.NET MVC таким образом, чтобы все действия были защищены, кроме тех, которые вы определили как незащищенные.

Сниппер из кода: 

public override void OnAuthorization(AuthorizationContext filterContext)
{
    ActionDescriptor action = filterContext.ActionDescriptor;
    bool IsUnsecured = action.GetCustomAttributes(
                         typeof(UnsecuredActionAttribute), true).Count() > 0;

    //If doesn't have UnsecuredActionAttribute - then do the authorization
    filterContext.HttpContext.SkipAuthorization = IsUnsecured;

    base.OnAuthorization(filterContext);
}
7 голосов
/ 28 августа 2009

Работая с ответом jeef3 , я придумал это. Он может использовать больше проверки ошибок и надежности, например, несколько действий с разделителями, но общая идея работает.

В вашем конкретном случае вы можете проверить значение сеанса и принять решение о выходе из авторизации. 

public class AuthorizeWithExemptionsAttribute : AuthorizeAttribute
{
    public string Exemption { get; set; }
    public override void OnAuthorization(AuthorizationContext filterContext)
    {
        if (filterContext.RouteData.GetRequiredString("action") == Exemption)
            return;

        base.OnAuthorization(filterContext);
    }

}

Использование: 

[AuthorizeWithExemptions(Roles="admin", ExemptAction="Index")]
public class AdminController : Controller
...
6 голосов
/ 17 мая 2013

Я понимаю, что вопрос довольно устарел, но в любом случае .. Если вы хотите применить фильтр ко всем действиям, просто добавьте следующие строки в Global.asax: 

protected void Application_Start()
{
    // your code here and then
    RegisterGlobalFilters(GlobalFilters.Filters);
}    

public static void RegisterGlobalFilters(GlobalFilterCollection filters)
{
    filters.Add(new MyActionFilterAttribute());
}

А в фильтре действий вы можете просто проверить, имеет ли действие какие-либо другие атрибуты следующим образом: 

public void OnActionExecuting(ActionExecutingContext filterContext)
{
    if (filterContext.ActionDescriptor.IsDefined(typeof(AnotherActionAttribute), false))
    {
        // do what you want to do
    }
}
3 голосов
/ 28 августа 2009

Может быть попытаться добавить свойство Except к первому атрибуту? 

[MyAuthenticate(Exempt="View")]
public class MyController : Controller
{
    public ActionResult Edit()
    {
        // Protected
    }

    public ActionResult View()
    {
        // Accessible by all
    }
}
2 голосов
/ 28 августа 2009

Вы можете добавить атрибут в класс, чтобы он применялся ко всем методам в этом классе 

[Authenticate]
public class AccountController : Controller
{
    public ActionResult Index()
    {
        return View();
    }
}

Я не знаю, как исключить конкретный метод из атрибута уровня класса. Может быть, использовать отдельный контроллер для неаутентифицированных запросов?

1 голос
/ 05 ноября 2013

Для тех, кто читает это в 2013+, MVC4 теперь поддерживает использование [AllowAnonymous]

Вы можете включить Авторизацию на контроллере, а затем Разрешить анонимный доступ на любые функции, которые вы не хотите авторизовать.

Пример:

[Авторизоваться] открытый класс HomeController: контроллер {

[AllowAnonymous]
public ActionResult Index()
{

}

}

Будет ли это работать с пользовательским фильтром [MyAuthorize] или будет работать только с [Авторизовать]

0 голосов
/ 29 марта 2013

Для тех, кто читает это в 2013+, MVC4 теперь поддерживает использование [AllowAnonymous]

Вы можете установить Авторизацию на контроллере, а затем Разрешить анонимно для любых функций, которые вы не хотите авторизовать.

Пример: 

[Authorize]
public class HomeController : Controller
{

    [AllowAnonymous]
    public ActionResult Index()
    {

    }
}
...