59

是否可以通过 HttpActionContext 对象访问帖子或获取参数?

我有一组传感器将数据记录到提供 REST api 的 Web 服务器。我想引入某种身份验证/授权,让传感器在数据中包含其硬件 ID,然后在数据库中查找该 ID 是否存在。由于 API 提供了许多 Web api 操作方法,因此我最好使用自定义授权属性

public class ApiAuthorizationFilter : AuthorizeAttribute
{
    protected override bool IsAuthorized(HttpActionContext actionContext)
    {
        return false;
    }
}

如何从 actionContext 访问发布/获取数据?

编辑:POST 示例

POST /Api/api/ActionMethod/ HTTP/1.1\r\n
Content-Type: application/json\r\n
Host: localhost\r\n
Accept: */*\r\n
Content-Length:52\r\n
\r\n
{"Id": '121a222bc', "Time": '2012-02-02 12:00:00'}\r\n

祝你今天过得愉快!

4

5 回答 5

64

由于其性质,AuthoriseAttribute 看起来像是在模型绑定器和参数绑定运行之前在管道中调用它。当您访问 Request.Content 并从中读取时,您也会遇到问题...这只能完成一次,如果您要在 auth 属性中尝试它,您可能会破坏 mediaTypeFormater...

在 WebAPI 中,请求主体(一个 HttpContent)可能是一个只读的、无限的、非缓冲的、不可回退的流。

更新 有不同的方法来指定执行上下文... http://msdn.microsoft.com/en-us/library/system.web.http.filters.filterscope(v=vs.108).aspx。AuthoriseAttribute 是“全局”的,因此访问操作信息的时间过早。

鉴于您想要访问模型和参数,您可以稍微改变您的方法并使用 OnActionExecuting 过滤器(“Action”过滤器范围),并根据您的验证抛出 401 或 403。

此过滤器稍后在执行过程中调用,因此您可以完全访问绑定的数据。

下面非常简单的例子:

public class ApiAuthorizationFilter : ActionFilterAttribute
{
    public override void OnActionExecuting(HttpActionContext actionContext)
    {
        Foo model = (Foo)actionContext.ActionArguments["model"];
        string param1 = (string)actionContext.ActionArguments["param1"];
        int param2 = (int)actionContext.ActionArguments["param2"];

        if (model.Id != "1")
            throw new HttpResponseException(System.Net.HttpStatusCode.Forbidden);

        base.OnActionExecuting(actionContext);
    }
}

示例控制器:

public class Foo
{
    public string Id { get; set; }
    public DateTime Time { get; set; }
}

public class FoosController : ApiController
{
    // PUT api/foos/5
    [ApiAuthorizationFilter]
    public Foo Put(int id, Foo model, [FromUri]string param1 = null, int? param2 = null)
    {
        return model;
    }
}

其他答案在说什么......他们是对的,如果您可以访问 URL 上所需的所有内容,则可以通过请求获取内容;但是,我认为模型和请求内容应该单独保留:

var queryStringCollection = HttpUtility.ParseQueryString(actionContext.Request.RequestUri.Query);

    //example for param1
    string param1 = queryStringCollection["param1"];
    //example for param2
    int param2 = int.Parse(queryStringCollection["param2"]);
    //Example of getting the ID from the URL
    var id = actionContext.Request.RequestUri.Segments.LastOrDefault();
于 2012-10-10T21:10:39.167 回答
28

在调用类似以下内容时,我访问了上下文路由数据以从自定义 AuthorizeAttribute 中获取参数/api/client/123/users

public class CustomAuthorizeAttribute : AuthorizeAttribute
  {
     protected override bool IsAuthorized(System.Web.Http.Controllers.HttpActionContext actionContext)
     {
        var clientId = Convert.ToInt32(actionContext.ControllerContext.RouteData.Values["clientid"]);

        // Check if user can access the client account.

     }
  }
于 2013-06-05T13:35:25.130 回答
1

您可以使用以下代码从自定义授权属性访问查询字符串值:

public class ApiAuthorizationFilter : AuthorizeAttribute
{
    protected override void OnAuthorization(AuthorizationContext filterContext)
    {
        var querystring = filterContext.RequestContext.HttpContext.Request.QueryString;
        // Do what you need
    }
}
于 2014-11-12T04:29:18.590 回答
0

虽然这个问题已经回答了。但如果其他人需要它,您可以从 ActionFilterAttribute 获取查询字符串,如下所示:

public class ApiAuthorizationActionFilter : ActionFilterAttribute
{
    public override void OnActionExecuting(HttpActionContext actionContext)
    {
        var queryParameters = actionContext.Request.GetQueryNameValuePairs().ToDictionary(x => x.Key, x => x.Value);

        var some_value = queryParameters.ContainsKey("some_key")
                    ? queryParameters["some_key"] : string.Empty;

        // Log Action Filter call
        base.OnActionExecuting(actionContext);
    }
}

但通常我构建 API 授权的方式是使用标头和自定义验证逻辑,方法是针对用户/客户端等向数据库添加密钥(唯一字符串)。

public class ApiAuthorizationActionFilter : ActionFilterAttribute
{
    public override void OnActionExecuting(HttpActionContext actionContext)
    {
        var headers = actionContext.Request.Headers.ToDictionary(x => x.Key, x => x.Value);

        string api_key = headers.ContainsKey("api_key") ? headers["api_key"].FirstOrDefault() : null;

        bool canAccessApi = IsValidKey(api_key);

        if (!canAccessApi)
            actionContext.Response = actionContext.Request.CreateErrorResponse(HttpStatusCode.Unauthorized, "You do not have access to this API. Please use a valid key.");

        // Log Action Filter call
        base.OnActionExecuting(actionContext);
    }

    private bool IsValidKey(string api_key)
    {
        //Build Access Control Logic here using database keys...
        return true;
    }
}
于 2015-10-04T17:17:16.823 回答
-2

您应该能够从actionContext.Request That is the way to get the request data 中获取此信息。

发布的数据在actionContext.Request.Content 或者如果它是一个 GET 请求,您可以从中获取查询字符串actionContext.Request.RequestUri

于 2012-10-10T10:34:07.827 回答