解决ASP.NET Web api 使用AllowAnonymous特性不起作用的问题

最新推荐文章于 2025-07-03 11:20:07 发布
最新推荐文章于 2025-07-03 11:20:07 发布
阅读量6.5k 收藏 2
点赞数
CC 4.0 BY-SA版权
分类专栏: ASP.NET 文章标签: ASP.NET Core
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/MDZZ666/article/details/88419189
本文解析了在ASP.NET MVC中,如何在继承AuthorizeAttribute的情况下,让[AllowAnonymous]特性生效,跳过权限验证。通过在OnAuthorization方法中添加特定代码,实现了自定义过滤器与AllowAnonymous特性的兼容。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

问题:
在控制器或方法添加[AllowAnonymous]的时候,无法跳过继承AuthorizeAttribute的过滤器的验证。

原因:
在这里插入图片描述

上图是AuthorizeAttribute的源代码

从源代码上来看,[AllowAnonymous]之所以能够跳过AuthorizeAttribute的验证,是因为SkipAuthorization方法的存在,而我们继承重写方法过后,并没有使用SkipAuthorization方法,所以也没有办法跳过AuthorizeAttribute的检查。

解决方法:
因为SkipAuthorization方法是私有的,用反射又显得有点复杂,所以我们只需要方法里面的核心代码就好,那就是
actionContext.ActionDescriptor.GetCustomAttributes<AllowAnonymousAttribute>().Any()

ActionDescriptor方法是获取Aciton在元数据的描述,所属控制器啊,相关名称啊,特性啊等等
GetCustomAttributes方法是获取其中自定义的特性

所以我们只需要在继承AuthorizeAttribute OnAuthorization方法开头这样写就好了
在这里插入图片描述
到这里一般来说都解决了,有什么问题欢迎留言

NetCore通过中间件判断接口是否存在 AllowAnonymousAttribute 特性
让梦想疯狂
04-02 483
特性来判断一个接口是否被标记为允许匿名访问。以下是一个简单的中间件示例,用于在请求管道中检查接口是否被。.NET Core中,可以通过检查接口上的。在应用程序中使用此中间件,将其添加到。
ASP.NET WebApi 如何使用 OAuth2.0 认证
yangshuquan的专栏
05-11 2263
OAuth2.0 和 JWT 在使用 Token 进行身份验证时有相似之处,如果只是拿来用于颁布 Token 的话,二者没区别,如本例,但实际上它们是完全不同的两种东西,OAuth2.0 是授权认证的框架,JWT 则是认证验证的方式方法(轻量级概念)。OAuth2.0 更多用在使用第三方账号登录的情况(比如使用 weibo,qq,github 等登录某个 app)其优势在于可以实现用户授权而无需透露密码,同时提供了更安全和灵活的授权机制,更好地保护用户数据和系统安全。
AllowAnonymous属性失效
weixin_33994429的博客
06-08 3233
  今天实现自定义AuthorizeAttribute却遇到了AllowAnonymous属性失效的问题,即使我在控制器、方法上声明AllowAnonymous也依然无法匿名访问,全都需要登陆后才可访问。 namespace System.Web.Mvc { // 摘要: // 表示一个特性,该特性用于标记在授权期间要跳过 System.Web.M...
c# [AllowAnonymous] API 匿名访问
最新发布
往事知多少?
07-03 260
ASP.NET Core中,属性允许你标记一个控制器或控制器中的特定操作,使得这些被标记的资源可以被匿名用户访问,即使他们没有通过身份验证。这对于需要公开访问的API接口特别有用,比如获取公开数据的接口([AllowAnonymousAttribute] )。
关于[AbpAllowAnonymous()] 不起作用
hjolpma的博客
12-19 1389
最终找到问题: 方法,代码中使用了L("Hot") 获取多语言,导致需要验证权限 暂时不知道原理。为什么不能使用这个方法。 所以以后可能还会有其他方法,导致 [AbpAllowAnonymous()] 失效。 最终结论: 就是要检查方法内 调用的其他方法 有没有需要权限验证!! ...
.net core自定义授权认证 含3.0及以上版本AllowAnonymous失效解决办法
qq_41974094的博客
10-18 1159
新建一个类RequestAuthorizeAttribute 继承IAuthorizationFilter public class RequestAuthorizeAttribute : IAuthorizationFilter{ public void OnAuthorization(AuthorizationFilterContext context){ var descriptor = (Microsoft.AspNetCore.Mvc.Controllers.Controlle
解决ASP.NET MVC AllowAnonymous属性无效导致无法匿名访问控制器的问题
weixin_30735745的博客
09-29 705
ASP.NET MVC项目中,一般都要使用身份验证和权限控制,但总有部分网页是可以匿名访问的。使用AllowAnonymous属性就可以指定需要匿名访问的控制器,从而跳过身份验证。 但是今天却遇到一个AllowAnonymous属性失效的问题,导致声明了该属性控制器的操作方法无法匿名访问,需要登陆后才可访问。后经过排查,是由于配置文件属性设置的问题。 一般是这样声明这个属性的: [Allo...
记录一次ASP.NET 3.1 Webapi使用JWT认证过程
APPLEHU09的博客
07-05 1492
框架:asp.net 3.1IDE:VS2019一、创建一个.NET CORE 3.1的webapi项目,这里创建过程就不赘述了,使用VS2019一步步创建即可;二、创建完后需要NuGet Package手动添加Microsoft.AspNetCore.Authentication.JwtBearer库。三、为方便接口测试,我们先加入swagger接口帮助文档(1)手动添加Swashbuckle.AspNetCore.SwaggerGen;Swashbuckle.AspNetCore.SwaggerUI;U
.NET 6.0 WebAPI 使用JWT生成Token的验证授权
qq_44217121的博客
09-23 1528
4.相关配置结束后,我们得生成Token,这时我们创建一个专门生成Token的类里面有两个生成Token的方法,想用哪个用哪个。6.既然可以生成Token了,那么就该给控制器授权了,总不能让每个携带Token的用户能访问系统所以的API吧,那样会出现垂直越权的情况,渗透测试过不了哦。2.配置文件appsettings.json写相关配置参数(也可不写,写在程序里面,数据库读取也是一样的)此处着重说Policy方式,对Role方法感兴趣的可以看我前面的Cookie方式验证。3.在Program配置相关服务。
记一次使用Asp.Net Core WebApi 5.0+Dapper+Mysql+Redis+Docker的开发过程
悟空的博客
01-15 1173
前言 我可能有三年没怎么碰C#了,目前的工作是在全职搞前端,最近有时间抽空看了一下Asp.net CoreCore版本号都到了5.0了,也越来越好用了,下面将记录一下这几天以来使用Asp.Net Core WebApi+Dapper+Mysql+Redis+Docker的一次开发过程。 项目结构 最终项目结构如下,CodeUin.Dapper数据访问层,CodeUin.WebApi应用层,其中涉及到具体业务逻辑的我将直接写在Controllers中,不再做过多分层。CodeUin.Helpers我将存放一
.net8 webapi jwt认证
qq1098715070qq的博客
11-14 465
.net8 webapi 添加jwt验证
.net 6.0 api 使用AllowAnonymous
qq_20382175的博客
03-21 487
绕过授权语句,每个人都可以访问该操作,无论其状态是经过身份验证、未经过身份验证还是匿名。例如,如果在控制器级别应用。属性结合使用,系统将忽略。
.net core 3.1 AllowAnonymous特性无效
elvismile的博客
01-16 8252
.net core 2.0 自定义权限过滤器和忽略验证的实现方式 继承Microsoft.AspNetCore.Mvc.Filters.IAuthorizationFilter实现自定义的过滤器 在不需要过滤器验证的Action或Controller上增加特性[AllowAnonymous] 在过滤器的OnAuthorization方法内对该特性进行判断,包含该特性的Controller或者Ac...
Authorize和AllowAnonymous
weixin_30297281的博客
07-07 356
[Authorize] public class HomeController : Controller { [AllowAnonymous] public ActionResult Login() { string userName = "admin"; st...
ASP.NET MVC使用AllowAnonymous特性跳过授权验证
热门推荐
pan_junbiao的博客
11-27 2万+
AllowAnonymous表示一个特性,该特性用于标记在授权期间要跳过 System.Web.Mvc.AuthorizeAttribute 的控制器和操作。 1、在Authorize过滤器类中添加如下代码 //判断是否跳过授权过滤器 if (filterContext.ActionDescriptor.IsDefined(typeof(AllowAnonymousAttribute), t...
转载----.NET权限拦截器使用AllowAnonymous特性跳过授权验证---仅做记录
weixin_44749334的博客
07-07 1487
AllowAnonymous跳过权限验证
ASP.NET设置匿名登录,访问还是需要身份验证解决方法
weixin_34099526的博客
01-15 447
碰到这个问题,我们设置了匿名登录模式,怎么还是需要验证,难道是匿名登录设置没生效。然后iisreset一下,发现还是老样子。上网查询还是一大堆都是匿名登录,或者是重新注册一下.NET组件。结果发现问题还是老样子。这是我们就需要注意到可能是权限的问题,而不是系统或者.NET版本有问题解决方法如下: 1.可能是c盘中的Temp的文件夹权限不够,授予user用户的权限,测试...
webapi route特性
06-07
ASP.NET Web API 中的 Route 特性用于自定义控制器和操作方法的路由信息。通过使用 Route 特性,可以将控制器和操作方法映射到指定的 URL。 以下是使用 Route 特性自定义控制器路由的示例: ```csharp [RoutePrefix("api/products")] public class ProductsController : ApiController { [HttpGet] [Route("")] public IHttpActionResult GetProducts() { // ... } [HttpGet] [Route("{id:int}")] public IHttpActionResult GetProduct(int id) { // ... } [HttpPost] [Route("")] public IHttpActionResult CreateProduct(Product product) { // ... } [HttpPut] [Route("{id:int}")] public IHttpActionResult UpdateProduct(int id, Product product) { // ... } [HttpDelete] [Route("{id:int}")] public IHttpActionResult DeleteProduct(int id) { // ... } } ``` 上述示例中,通过在控制器上使用 `[RoutePrefix("api/products")]` 特性,将控制器映射到 URL `api/products`。 在控制器的操作方法上,使用 `[Route]` 特性来指定操作方法的 URL,例如 `[Route("{id:int}")]` 将会把 URL 中的 `{id}` 参数映射到操作方法的参数上,并限制该参数必须为整数。 需要注意的是,使用 `[Route]` 特性自定义路由时,控制器和操作方法的名称将不再起到路由作用。 除了使用 `[Route]` 特性来自定义路由,还可以使用 `[HttpGet]`、`[HttpPost]`、`[HttpPut]`、`[HttpDelete]` 等 HTTP 方法特性来限定操作方法的 HTTP 方法,以及使用 `[AllowAnonymous]`、`[Authorize]` 等授权特性来限制操作方法的访问权限。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值