ASP MVC Autoryzuj wszystkie działania poza kilkoma

Question

Mam kontroler i chciałbym, aby autoryzacja dla wszystkich działań była domyślnie za wyjątkiem pary. Tak więc w poniższym przykładzie wszystkie działania powinny wymagać uwierzytelnienia z wyjątkiem Indeksu. Nie chcę dekorować każdej akcji autoryzacją, chcę tylko zastąpić domyślną autoryzację w pewnych okolicznościach prawdopodobnie za pomocą niestandardowego filtru takiego jak NotAuthorize.

[Authorize] 
public class HomeController : BaseController 
{ 
    [NotAuthorize] 
    public ActionResult Index() 
    { 
     // This one wont 
     return View(); 
    } 

    public ActionResult About() 
    { 
     // This action will require authorization 
     return View(); 
    } 
} 

Answer 1

Ok, właśnie to zrobiłem. Jeśli jest lepszy sposób, daj mi znać.

public class NotAuthorizeAttribute : FilterAttribute 
{ 
    // Does nothing, just used for decoration 
} 

public class BaseController : Controller 
{ 
    protected override void OnActionExecuting(ActionExecutingContext filterContext) 
    { 
     // Check if this action has NotAuthorizeAttribute 
     object[] attributes = filterContext.ActionDescriptor.GetCustomAttributes(true); 
     if (attributes.Any(a => a is NotAuthorizeAttribute)) return; 

     // Must login 
     if (!filterContext.HttpContext.User.Identity.IsAuthenticated) 
     { 
      filterContext.Result = new HttpUnauthorizedResult(); 
     } 
    } 
} 

Answer 2

Oto, co bym zrobił, podobnie jak odpowiedź Craiga z kilkoma zmianami:

1) Utwórz zwykły atrybut powstałymi System.Attribute (nie ma potrzeby wynikają z FilterAttribute ponieważ nie są będzie używać niczego, co zapewnia funkcja FilterAttribute).

Może utworzyć hierarchię klas atrybutów, aby można było testować na podstawie hierarchii, np.

Attribute 
    AuthorizationAttribute 
     AuthorizationNotRequiredAttribute 
     AuthorizationAdminUserRequiredAttribute 
      AuthorizationSuperUserRequiredAttribute 

2) W swojej BaseController zastąpić metodę OnAuthorization zamiast metody OnActionExecuting:

protected override void OnAuthorization(AuthorizationContext filterContext) 
{ 
    var authorizationAttributes = filterContext.ActionDescriptor.GetCustomAttributes(true).OfType<AuthorizationAttribute>(); 
    bool accountRequired = !authorizationAttributes.Any(aa => aa is AuthorizationNotRequiredAttribute); 

Lubię podejście jest domyślnie zabezpieczone: nawet jeśli zapomnij umieścić atrybut w działaniu będzie to wymagało przynajmniej zalogowania użytkownika.

Answer 3

Nieco spóźniłem się na imprezę, ale w końcu utworzyłem atrybut autoryzacji na poziomie kontrolera i atrybut auth na poziomie działania i po prostu pomijam autoryzację kontrolera, jeśli Akcja miała swój własny atrybut Auth. Zobacz kod tutaj:

https://gist.github.com/948822

Answer 4

Co o [AllowAnonymous] ??

Answer 5

Użyj niestandardowego filtru zgodnie z opisem w dokumencie Securing your ASP.NET MVC 3 Application.

Answer 6

MVC4 ma nowy atrybut dokładnie oznaczało dla tego [AllowAnonymous] (jak podkreślił Enrico)

[AllowAnonymous] 
public ActionResult Register() 

przeczytać o tym tutaj:

http://blogs.msdn.com/b/rickandy/archive/2012/03/23/securing-your-asp-net-mvc-4-app-and-the-new-allowanonymous-attribute.aspx

Answer 7

Mark sterownik z [Autoryzacja]

[Autoryzuj] klasa publiczna YourController: ApiController

działania Oznacz chcesz publicznego z:

[AllowAnonymous]