我目前正在使用MVC 4 Web API项目类型开发Web API。我目前处于需要为API添加一些安全性的阶段。我知道Authorize属性,但客户端更喜欢不同的方法。 为此,我试图覆盖我自己的类中的Authorize属性,作为一个基本的开始,我只是让AuthorizeCore总是返回false,这应该意味着没有经过身份验证。如果我然后将其添加到控制器中的Action,则操作始终完成,并且我始终检索数据。 我认为原因可能是由于自定义属性未在web.config文件中注册,但是,我不确定如何在不使用表单身份验证时进行此操作。
我用来测试的代码是一个全新的MVC 4 Web API项目,其自定义属性如下所示。
public class Auth : AuthorizeAttribute
{
protected override bool AuthorizeCore(HttpContextBase httpContext)
{
return false;
}
protected override void HandleUnauthorizedRequest(AuthorizationContext filterContext)
{
filterContext.Result = new RedirectResult("http://www.google.com");
}
}
然后我将属性添加到默认ValuesController的Get方法中
[Auth]
public IEnumerable<string> Get()
但是,当我导航到domain / api / Values时,我总是会看到数据,而不是预期的重定向谷歌。任何帮助表示赞赏。
编辑:看了一下后我在这里找到了这个: http://weblogs.asp.net/jgalloway/archive/2012/05/04/asp-net-mvc-authentication-customizing-authentication-and-authorization-the-right-way.aspx 这表明我选择了错误的AuthorizeAttribute类,因为我从System.Web.MVC中选择了一个而不是System.Web.Http中的那个。似乎Http版本不允许与MVC版本相同级别的配置,因为它不允许我覆盖AuthorizeCore。对此有任何帮助表示赞赏。