ASP MVC Autorisieren Sie alle Aktionen außer ein paar

Question

Ich habe einen Controller und ich möchte die Autorisierung für alle Aktionen standardmäßig mit Ausnahme eines Paares erfordern. Im folgenden Beispiel sollten alle Aktionen eine Authentifizierung mit Ausnahme des Indexes erfordern. Ich möchte nicht jede Aktion mit dem Autorisieren dekorieren, ich möchte die Standardautorisierung unter bestimmten Umständen wahrscheinlich mit einem benutzerdefinierten Filter wie NotAuthorize überschreiben.

[Authorize] 
public class HomeController : BaseController 
{ 
    [NotAuthorize] 
    public ActionResult Index() 
    { 
     // This one wont 
     return View(); 
    } 

    public ActionResult About() 
    { 
     // This action will require authorization 
     return View(); 
    } 
} 

Answer 1

Ok, das ist was ich getan habe. Wenn es einen besseren Weg gibt, lass es mich wissen.

public class NotAuthorizeAttribute : FilterAttribute 
{ 
    // Does nothing, just used for decoration 
} 

public class BaseController : Controller 
{ 
    protected override void OnActionExecuting(ActionExecutingContext filterContext) 
    { 
     // Check if this action has NotAuthorizeAttribute 
     object[] attributes = filterContext.ActionDescriptor.GetCustomAttributes(true); 
     if (attributes.Any(a => a is NotAuthorizeAttribute)) return; 

     // Must login 
     if (!filterContext.HttpContext.User.Identity.IsAuthenticated) 
     { 
      filterContext.Result = new HttpUnauthorizedResult(); 
     } 
    } 
} 

Answer 2

Hier ist, was ich tun würde, ähnlich wie Craig Antwort mit ein paar Änderungen:

1) Erstellen Sie ein gewöhnliches Attribut aus System.Attribute Ableitung (keine Notwendigkeit von FilterAttribute abzuleiten, da Sie nicht sind wird alles verwenden, was FilterAttribute bietet).

Vielleicht erstellen Sie eine Klassenhierarchie von Attributen, so dass Sie basierend auf der Hierarchie, z.

Attribute 
    AuthorizationAttribute 
     AuthorizationNotRequiredAttribute 
     AuthorizationAdminUserRequiredAttribute 
      AuthorizationSuperUserRequiredAttribute 

2) In Ihrem Baseüberschreiben die OnAuthorization Methode anstatt die OnActionExecuting Methode:

protected override void OnAuthorization(AuthorizationContext filterContext) 
{ 
    var authorizationAttributes = filterContext.ActionDescriptor.GetCustomAttributes(true).OfType<AuthorizationAttribute>(); 
    bool accountRequired = !authorizationAttributes.Any(aa => aa is AuthorizationNotRequiredAttribute); 

ich den Ansatz wie die standardmäßig sicher sein: auch wenn Sie ein Attribut auf der Aktion zu setzen vergessen es erfordert mindestens einen Benutzer, um angemeldet zu sein.

Answer 3

Wenig spät zur Partei, aber ich endete am Erstellen einer Controller-Ebene Auth-Attribut und eine Action-Ebene Auth-Attribut und nur über die Controller-Auth, wenn die Aktion hatte ihr eigenes Auth-Attribut. Siehe Code hier:

https://gist.github.com/948822

Answer 4

Was [AllowAnonymous] ??

Answer 5

Verwenden Sie einen benutzerdefinierten Filter wie unter Securing your ASP.NET MVC 3 Application beschrieben.

Answer 6

MVC4 hat ein neues Attribut genau für diese [AllowAnonymous] bedeutete

[AllowAnonymous] 
public ActionResult Register() 

Lesen Sie alles über sie hier (wie von Enrico darauf hingewiesen):

http://blogs.msdn.com/b/rickandy/archive/2012/03/23/securing-your-asp-net-mvc-4-app-and-the-new-allowanonymous-attribute.aspx

Answer 7

Mark die Steuerung mit [autorisieren]

[Autorisieren] öffentliche Klasse YourController: ApiController

Mark Aktionen, die Sie öffentlich wollen mit:

[AllowAnonymous]