WebApi授权拦截，mdash，mdash，重写AuthorizeAttribute

在ASP.NET Web API项目中，我们可能需要对某些方法或控制器进行权限控制，只允许授权用户进行访问。这时候我们就可以使用AuthorizeAttribute类，该类可以直接应用于控制器或方法上，用于验证用户是否已经登录或是否具有相应的权限。但是，在某些情况下，AuthorizeAttribute类的默认行为无法满足我们的需求，这时候我们就需要重写AuthorizeAttribute类，以实现我们的自定义授权逻辑。

本文将介绍如何重写AuthorizeAttribute类并自定义授权逻辑，并提供详细的使用方法和案例说明。

一、重写AuthorizeAttribute类

我们可以通过继承AuthorizeAttribute类并重载OnAuthorization方法来实现自定义授权逻辑。OnAuthorization方法会在请求方法或控制器之前被调用，并且在该方法中，我们可以访问HttpContext对象并检查用户是否已经登录或是否具有相应的权限。下面是一个简单的AuthorizeAttribute类的示例：

```csharp

public class CustomAuthorizeAttribute : AuthorizeAttribute

{

protected override bool IsAuthorized(HttpActionContext actionContext)

{

//在这里实现自定义的授权逻辑

return true; //根据自定义逻辑返回true或false

}

public override void OnAuthorization(HttpActionContext actionContext)

{

if (!IsAuthorized(actionContext))

{

HandleUnauthorizedRequest(actionContext);

}

}

}

```

在上面的代码中，我们定义了一个CustomAuthorizeAttribute类，该类继承自AuthorizeAttribute，并重载了IsAuthorized方法和OnAuthorization方法，其中：

- IsAuthorized方法：用于实现自定义的授权逻辑，根据自定义逻辑返回true或false。

- OnAuthorization方法：在请求方法或控制器之前被调用，用于检查用户是否已经登录或是否具有相应的权限。在该方法中，我们通过调用IsAuthorized方法来判断当前用户是否已经授权，如果没有授权，则调用HandleUnauthorizedRequest方法来处理未授权访问请求。

二、自定义授权逻辑

在重写AuthorizeAttribute类时，我们可以实现自定义的授权逻辑来满足我们的需求。下面是常见的自定义授权逻辑示例：

1. 验证请求头部Token

```csharp

public class TokenAuthorizeAttribute : AuthorizeAttribute

{

protected override bool IsAuthorized(HttpActionContext actionContext)

{

var authorizationHeader = actionContext.Request.Headers.Authorization;

if (authorizationHeader != null && authorizationHeader.Scheme == "Bearer")

{

var token = authorizationHeader.Parameter;

//根据token验证用户是否已经登录

//如果验证通过，则返回true

}

return false;

}

}

```

在上面的代码中，我们定义了一个TokenAuthorizeAttribute类，该类继承自AuthorizeAttribute，并重载了IsAuthorized方法。在IsAuthorized方法中，我们通过验证请求头部的Token值来验证用户是否已经登录。

2. 验证角色权限

```csharp

public class RoleAuthorizeAttribute : AuthorizeAttribute

{

public string Role { get; set; }

protected override bool IsAuthorized(HttpActionContext actionContext)

{

var user = actionContext.RequestContext.Principal;

if (user.Identity.IsAuthenticated && !string.IsNullOrEmpty(Role))

{

//根据角色验证用户是否具备相应的权限

}

return false;

}

}

```

在上面的代码中，我们定义了一个RoleAuthorizeAttribute类，该类继承自AuthorizeAttribute，并重载了IsAuthorized方法。在IsAuthorized方法中，我们通过验证用户是否具备相应的角色来判断用户是否有访问方法或控制器的权限。

3. 验证用户权限

```csharp

public class PermissionAuthorizeAttribute : AuthorizeAttribute

{

public string Permission { get; set; }

protected override bool IsAuthorized(HttpActionContext actionContext)

{

var user = actionContext.RequestContext.Principal;

if (user.Identity.IsAuthenticated && !string.IsNullOrEmpty(Permission))

{

//根据用户权限验证用户是否具备相应的权限

}

return false;

}

}

```

在上面的代码中，我们定义了一个PermissionAuthorizeAttribute类，该类继承自AuthorizeAttribute，并重载了IsAuthorized方法。在IsAuthorized方法中，我们通过验证用户是否具备相应的权限来判断用户是否有访问方法或控制器的权限。

三、使用方法

使用自定义的AuthorizeAttribute类时，我们只需要在方法或控制器上使用我们自定义的AuthorizeAttribute类即可，具体如下：

```csharp

[TokenAuthorize]

public class MyController : ApiController

{

[HttpGet]

[RoleAuthorize(Role = "admin")]

public IHttpActionResult MyMethod()

{

//some code here

}

}

```

在上面的代码中，我们在控制器上使用了TokenAuthorizeAttribute，并在方法上使用了RoleAuthorizeAttribute，这样就可以实现对方法和控制器的自定义授权逻辑。

四、案例说明

下面是一个实际项目中的案例，项目中需要对某些控制器和方法进行权限控制，具体如下：

1. 定义CustomAuthorizeAttribute类

```csharp

public class CustomAuthorizeAttribute : AuthorizeAttribute

{

public string Permission { get; set; }

public override void OnAuthorization(HttpActionContext actionContext)

{

var user = HttpContext.Current.User;

if (user == null || !user.Identity.IsAuthenticated)

{

HandleUnauthorizedRequest(actionContext);

return;

}

if (!string.IsNullOrEmpty(Permission))

{

if (!user.HasPermission(Permission))

{

HandleUnauthorizedRequest(actionContext);

return;

}

}

base.OnAuthorization(actionContext);

}

}

```

在上面的代码中，我们定义了一个CustomAuthorizeAttribute类，该类继承自AuthorizeAttribute，并重载了OnAuthorization方法。在该方法中，我们通过验证用户是否已经登录和是否具备相应的权限来实现自定义授权逻辑。

2. 定义UserExtensions类

```csharp

public static class UserExtensions

{

public static bool HasPermission(this IPrincipal user, string permission)

{

//根据用户权限验证用户是否具备相应的权限

//如果验证通过，则返回true

//否则返回false

return false;

}

}

```

在上面的代码中，我们定义了一个UserExtensions类，该类是对IPrincipal接口的扩展方法，用于检查用户是否具备相应的权限。

3. 在控制器上使用CustomAuthorizeAttribute

```csharp

[CustomAuthorize(Permission = "admin")]

public class MyController : ApiController

{

[HttpGet]

public IHttpActionResult MyMethod()

{

//some code here

}

}

```

在上面的代码中，我们在控制器上使用了CustomAuthorizeAttribute，并在该属性中指定Permission属性为"admin"，这样就可以实现只允许具有"admin"权限的用户进行访问。

五、总结

通过重写AuthorizeAttribute类并实现自定义授权逻辑，我们可以灵活地控制用户的访问权限，从而实现更加细粒度的权限控制。本文介绍了如何重写AuthorizeAttribute类、自定义授权逻辑以及使用方法和案例说明，希望能帮助读者更好地理解和使用AuthorizeAttribute类。 如果你喜欢我们三七知识分享网站的文章， 欢迎您分享或收藏知识分享网站文章 欢迎您到我们的网站逛逛喔！https://www.37seo.cn/