获取 MVC AllowAnonymous 以覆盖自定义授权属性

Question

我创建了一个自定义授权属性，但我需要一些操作来允许匿名访问。我尝试了三种不同的方法，但均未成功：使用AllowAnonymous，使用附加参数更新现有属性，并创建一个新的覆盖属性。基本上，控制器级属性似乎总是​​在动作级属性之前被调用。

这是控制器：

[AuthorizePublic(Sites = AuthSites.Corporate)]
public class CorporateController : SecuredController
{
    [AuthorizePublic(Sites = AuthSites.Corporate, AllowAnonymous = true)]
    public ActionResult Login(string returnUrl)
    {
        ViewBag.ReturnUrl = returnUrl;
        return View();
    }
}

以及属性：

public class AuthorizePublic : AuthorizeAttribute
{
    public AuthSites Sites { get; set; }
    public bool AllowAnonymous { get; set; }

    protected override bool AuthorizeCore(HttpContextBase httpContext)
    {
        // Logic
    }        
}

作为最后的手段，我可​​以将登录操作移动到他们自己的控制器上，但在我这样做之前，我是否遗漏了一些东西来让这些方法中的一种工作？动作级别的属性没有覆盖控制器级别的属性，这让我有点惊讶。

Answer 1

扫描AllowAnonymousAttribute的是OnAuthorization method of AuthorizeAttribute的实现。因此，如果您希望该部分正常工作，您必须不覆盖此方法或重新实现此检查。由于您只提供了AuthorizeAttribute 的精简实现，因此不能假设您没有覆盖此方法（从而覆盖进行检查的逻辑）。

此外，您的示例控制器实际上并未显示AllowAnonymousAttribute 的用法。相反，它设置了一个名为AllowAnonymous 的属性。如果您希望匿名用户访问该操作方法，您应该使用 MVC 实际扫描的属性来装饰它。

[AuthorizePublic(Sites = AuthSites.Corporate)]
public class CorporateController : SecuredController
{
    [AllowAnonymous]
    public ActionResult Login(string returnUrl)
    {
        ViewBag.ReturnUrl = returnUrl;
        return View();
    }
}

或者，如果您需要以某种方式自定义AllowAnonymous 行为，您可以继续使用您拥有的属性，但您必须自己实现反射代码以扫描AuthorizePublic 并检查AllowAnonymous 属性.

public class AuthorizePublic : AuthorizeAttribute
{
    public AuthSites Sites { get; set; }
    public bool AllowAnonymous { get; set; }

    protected override bool AuthorizeCore(HttpContextBase httpContext)
    {
        var actionDescriptor = httpContext.Items["ActionDescriptor"] as ActionDescriptor;
        if (actionDescriptor != null)
        {
            AuthorizePublic attribute = GetAuthorizePublicAttribute(actionDescriptor);
            if (attribute.AllowAnonymous)
                return true;

            var sites = attribute.Sites;

            // Logic
        }
        return true;
    }

    public override void OnAuthorization(AuthorizationContext filterContext)
    {
        // Pass the current action descriptor to the AuthorizeCore
        // method on the same thread by using HttpContext.Items
        filterContext.HttpContext.Items["ActionDescriptor"] = filterContext.ActionDescriptor;
        base.OnAuthorization(filterContext);
    }

    // Gets the Attribute instance of this class from an action method or contoroller.
    // An action method will override a controller.
    private AuthorizePublic GetAuthorizePublicAttribute(ActionDescriptor actionDescriptor)
    {
        AuthorizePublic result = null;

        // Check if the attribute exists on the action method
        result = (AuthorizePublic)actionDescriptor
            .GetCustomAttributes(attributeType: typeof(AuthorizePublic), inherit: true)
            .SingleOrDefault();

        if (result != null)
        {
            return result;
        }

        // Check if the attribute exists on the controller
        result = (AuthorizePublic)actionDescriptor
            .ControllerDescriptor
            .GetCustomAttributes(attributeType: typeof(AuthorizePublic), inherit: true)
            .SingleOrDefault();

        return result;
    }
}

AuthorizeAttribute 实现了Attribute 和IAuthorizationFilter。考虑到这一点，AuthorizeAttribute 的 IAuthorizationFilter 部分与Attribute 部分相比是类的不同运行时实例。所以前者必须使用反射来读取后者的属性才能使其工作。您不能只从当前实例中读取 AllowAnonymous 属性并期望它工作，因为您在属性中设置值并且代码正在过滤器中执行。

MVC 和 Web API 是完全独立的框架，具有各自独立的配置，即使它们可以共存于同一个项目中。 MVC 将完全忽略 Web API 中定义的任何控制器或属性，反之亦然。