Пользовательский атрибут авторизации

Question

Я реализую атрибут CustomAuthorizeAttribute.Мне нужно получить название выполняемого действия.Как я могу получить имя текущего имени действия, выполняемого в функции AuthorizeCore, которую я переопределяю?

Answer 1

Если вы используете кеш (или планируете), то переопределите AuthorizeCore, как показывает Дарин Димитров в , этот ответ гораздо безопаснее:

protected override bool AuthorizeCore(HttpContextBase httpContext)
{
    var routeData = httpContext.Request.RequestContext.RouteData;
    var controller = routeData.GetRequiredString("controller");
    var action = routeData.GetRequiredString("action");
    ...
}

Причина этого задокументирована в самом исходном коде MVC :

AuthorizeAttribute.cs (строки 72-101)

public virtual void OnAuthorization(AuthorizationContext filterContext) {
    if (filterContext == null) {
        throw new ArgumentNullException("filterContext");
    }

    if (OutputCacheAttribute.IsChildActionCacheActive(filterContext)) {
        // If a child action cache block is active, we need to fail immediately, even if authorization
        // would have succeeded. The reason is that there's no way to hook a callback to rerun
        // authorization before the fragment is served from the cache, so we can't guarantee that this
        // filter will be re-run on subsequent requests.
        throw new InvalidOperationException(MvcResources.AuthorizeAttribute_CannotUseWithinChildActionCache);
    }

    if (AuthorizeCore(filterContext.HttpContext)) {
        // ** IMPORTANT **
        // Since we're performing authorization at the action level, the authorization code runs
        // after the output caching module. In the worst case this could allow an authorized user
        // to cause the page to be cached, then an unauthorized user would later be served the
        // cached page. We work around this by telling proxies not to cache the sensitive page,
        // then we hook our custom authorization code into the caching mechanism so that we have
        // the final say on whether a page should be served from the cache.

        HttpCachePolicyBase cachePolicy = filterContext.HttpContext.Response.Cache;
        cachePolicy.SetProxyMaxAge(new TimeSpan(0));
        cachePolicy.AddValidationCallback(CacheValidateHandler, null /* data */);
    }
    else {
        HandleUnauthorizedRequest(filterContext);
    }
}

Evenесли вы не планировали использовать кеш, эти две магические строки кажутся небольшой ценой, чтобы заплатить за душевное спокойствие, которое вы получите взамен (и потенциальную головную боль, которую вы спасете сами.) Если вы все равно хотите переопределить OnAuthorization, вместо этого,Вы должны по крайней мере убедиться, что запрос не кэширован.См. этот пост Леви для большего контекста.

Answer 2

Имя действия можно получить следующим образом:

public class CustomAuthFilter : IAuthorizationFilter
    {
        public void OnAuthorization(AuthorizationContext filterContext)
        {
            filterContext.ActionDescriptor.ActionName;
        }
    }

РЕДАКТИРОВАТЬ:

Если вы хотите наследовать от атрибута AuthorizationAttribute, вам необходимо переопределить метод OnAuthorization.

public class CustomAuthAttribute : AuthorizeAttribute
{
    public override void OnAuthorization(AuthorizationContext filterContext)
    {
        base.OnAuthorization(filterContext);
    }
}