解决ASP.NET Web api 使用AllowAnonymous特性不起作用的问题

本文解析了在ASP.NET MVC中,如何在继承AuthorizeAttribute的情况下,让[AllowAnonymous]特性生效,跳过权限验证。通过在OnAuthorization方法中添加特定代码,实现了自定义过滤器与AllowAnonymous特性的兼容。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

问题:
在控制器或方法添加[AllowAnonymous]的时候,无法跳过继承AuthorizeAttribute的过滤器的验证。

原因:
在这里插入图片描述

上图是AuthorizeAttribute的源代码

从源代码上来看,[AllowAnonymous]之所以能够跳过AuthorizeAttribute的验证,是因为SkipAuthorization方法的存在,而我们继承重写方法过后,并没有使用SkipAuthorization方法,所以也没有办法跳过AuthorizeAttribute的检查。

解决方法:
因为SkipAuthorization方法是私有的,用反射又显得有点复杂,所以我们只需要方法里面的核心代码就好,那就是
actionContext.ActionDescriptor.GetCustomAttributes<AllowAnonymousAttribute>().Any()

ActionDescriptor方法是获取Aciton在元数据的描述,所属控制器啊,相关名称啊,特性啊等等
GetCustomAttributes方法是获取其中自定义的特性

所以我们只需要在继承AuthorizeAttribute OnAuthorization方法开头这样写就好了
在这里插入图片描述
到这里一般来说都解决了,有什么问题欢迎留言

ASP.NET Web API 中的 Route 特性用于自定义控制器和操作方法的路由信息。通过使用 Route 特性,可以将控制器和操作方法映射到指定的 URL。 以下是使用 Route 特性自定义控制器路由的示例: ```csharp [RoutePrefix("api/products")] public class ProductsController : ApiController { [HttpGet] [Route("")] public IHttpActionResult GetProducts() { // ... } [HttpGet] [Route("{id:int}")] public IHttpActionResult GetProduct(int id) { // ... } [HttpPost] [Route("")] public IHttpActionResult CreateProduct(Product product) { // ... } [HttpPut] [Route("{id:int}")] public IHttpActionResult UpdateProduct(int id, Product product) { // ... } [HttpDelete] [Route("{id:int}")] public IHttpActionResult DeleteProduct(int id) { // ... } } ``` 上述示例中,通过在控制器上使用 `[RoutePrefix("api/products")]` 特性,将控制器映射到 URL `api/products`。 在控制器的操作方法上,使用 `[Route]` 特性来指定操作方法的 URL,例如 `[Route("{id:int}")]` 将会把 URL 中的 `{id}` 参数映射到操作方法的参数上,并限制该参数必须为整数。 需要注意的是,使用 `[Route]` 特性自定义路由时,控制器和操作方法的名称将不再起到路由作用。 除了使用 `[Route]` 特性来自定义路由,还可以使用 `[HttpGet]`、`[HttpPost]`、`[HttpPut]`、`[HttpDelete]` 等 HTTP 方法特性来限定操作方法的 HTTP 方法,以及使用 `[AllowAnonymous]`、`[Authorize]` 等授权特性来限制操作方法的访问权限。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值