自定义授权属性与枚举角色参数在 ajax 调用中获取空值

本文关键字:调用 ajax 获取 空值 参数 属性 授权 枚举 角色 自定义 | 更新日期: 2023-09-27 18:36:51

我的自定义授权属性遇到问题

public class ExplicitAuthorizeAttribute : AuthorizeAttribute
{
    private readonly MembershipUserRole[] _acceptedRoles;
    public ExplicitAuthorizeAttribute()
    {
    }
    public ExplicitAuthorizeAttribute(params MembershipUserRole[] acceptedRoles)
    {
        _acceptedRoles = acceptedRoles;
    }
    protected override bool AuthorizeCore(HttpContextBase httpContext)
    {  
       //Validation ...          
    }
}

我是这样使用它的:

[ExplicitAuthorize[(MembershipUserRole.Admin, MembershipUserRole.SuperAdmin)]

它非常适合HttpGet和HttpPost来验证我的控制器和方法。

但是当我在 ApiController 中使用它并进行 ajax 调用时,AuthorizeCore 没有运行,我遇到了安全漏洞。

我的枚举看起来像这样

[Flags]
public enum MembershipUserRole
{
    Admin= 1,
    SuperAdmin = 2
}

有谁知道为什么我的授权核心在这种情况下没有验证?

顺便说一下,如果我使用

[Authorized(Roles ="Admin, SuperAdmin")]

它验证得很好,但我希望有 Stronly 类型化角色,这就是我使用枚举的原因。

自定义授权属性与枚举角色参数在 ajax 调用中获取空值

你派生自错误的类:System.Web.Mvc.AuthorizeAttribute而对于 Web API 控制器,你应该派生自 System.Web.Http.AuthorizeAttribute

不要忘记,ASP.NET MVC 和 ASP.NET Web API 是 2 个完全不同的框架,即使它们共享一些共同的原则和名称,相应的类也位于 2 个完全不同的命名空间中。

因此,您所做的是使用它一无所知的 AuthorizeAttribute 装饰一个 ASP.NET Web API 操作。

如果要在 Web API 中进行授权 ASP.NET 请确保已从正确的属性派生:

public class ExplicitAuthorizeAttribute : System.Web.Http.AuthorizeAttribute
{
    private readonly MembershipUserRole[] _acceptedRoles;
    public ExplicitAuthorizeAttribute()
    {
    }
    public ExplicitAuthorizeAttribute(params MembershipUserRole[] acceptedRoles)
    {
        _acceptedRoles = acceptedRoles;
    }
    protected override bool IsAuthorized(HttpActionContext actionContext)
    {
        //Validation ...          
    }
}
相关文章: