Переопределить атрибут авторизации в ASP.NET MVC

Question

У меня есть базовый класс контроллера MVC, к которому я применил атрибут Authorize, так как хочу, чтобы почти все контроллеры (и их действия) были авторизованы.

Однако мне нужен контроллер и действие другого контроллера без разрешения. Я хотел иметь возможность украсить их [Authorize(false)] или чем-то еще, но это недоступно.

Есть идеи?

Answer 1

Редактировать: Начиная с ASP.NET MVC 4, лучший подход - просто использовать встроенный атрибут AllowAnonymous .

Ответ ниже относится к более ранним версиям ASP.NET MVC

Вы можете создать собственный атрибут авторизации, унаследованный от стандартного AuthorizeAttribute, с необязательным параметром bool, чтобы указать, требуется ли авторизация или нет.

public class OptionalAuthorizeAttribute : AuthorizeAttribute
{
    private readonly bool _authorize;

    public OptionalAuthorizeAttribute()
    {
        _authorize = true;
    }

    public OptionalAuthorizeAttribute(bool authorize)
    {
        _authorize = authorize;
    }

    protected override bool AuthorizeCore(HttpContextBase httpContext)
    {
        if(!_authorize)
            return true;

                    return base.AuthorizeCore(httpContext);
    }
}

Затем вы можете украсить свой базовый контроллер следующим атрибутом:

[OptionalAuthorize]
public class ControllerBase : Controller
{
}

и для любых контроллеров, для которых вы не хотите авторизацию, просто используйте переопределение с 'false' - например,

[OptionalAuthorize(false)]
public class TestController : ControllerBase
{
    public ActionResult Index()
    {
        return View();
    }
}

Answer 2

Кажется, ASP.NET MVC 4 исправил это, добавив атрибут AllowAnonymous .

Дэвид Хейден писал об этом :

[Authorize]
public class AccountController : Controller
{
    [AllowAnonymous]
    public ActionResult Login()
    {
        // ...
    }

    // ...
}

Answer 3

Мое личное мнение - разделить контроллер. Просто создайте другой контроллер. Для действий вам не нужна аутентификация.

Или вы можете иметь:

• BaseController
  не требует аутентификации - здесь у вас есть все ваши "базовые вещи":).

• BaseAuthController : BaseController
  все действия здесь требуют аутентификации.

Таким образом, вы можете иметь аутентификацию, когда захотите, просто используя определенный класс.

Answer 4

Если вы просто хотите, чтобы одно действие не было авторизовано на контроллере, авторизованном другим способом, вы можете сделать что-то вроде этого:

public class RequiresAuthorizationAttribute : ActionFilterAttribute
{
    private readonly bool _authorize;

    public RequiresAuthorizationAttribute()
    {
        _authorize = true;
    }

    public RequiresAuthorizationAttribute(bool authorize)
    {
        _authorize = authorize;
    }

    public override void OnActionExecuting(ActionExecutingContext filterContext)
    {
        var overridingAttributes = filterContext.ActionDescriptor.GetCustomAttributes(typeof (RequiresAuthorizationAttribute), false);

        if (overridingAttributes.Length > 0 && overridingAttributes[0] as RequiresAuthorizationAttribute != null && !((RequiresAuthorizationAttribute)overridingAttributes[0])._authorize)
            return;

        if (_authorize)
        {
            //redirect if not authenticated
            if (!filterContext.HttpContext.User.Identity.IsAuthenticated)
            {
                //use the current url for the redirect
                var redirectOnSuccess = filterContext.HttpContext.Request.Url.AbsolutePath;

                //send them off to the login page
                //var redirectUrl = string.Format("?RedirectUrl={0}", redirectOnSuccess);
                var loginUrl = LinkBuilder.BuildUrlFromExpression<HomeController>(filterContext.RequestContext, RouteTable.Routes,
                                                                                  x => x.Login(redirectOnSuccess));
                filterContext.HttpContext.Response.Redirect(loginUrl, true);
            }
        }
    }
}