9

我一直在互联网上试图找出为什么我的自定义 AuthorizeAttribute 在我的 MVC WebApi 中不起作用。我见过有人在 SO 上询问这种事情,但没有什么能帮助我解决我的问题:

 [AttributeUsage(AttributeTargets.Method, AllowMultiple = false, 
                 Inherited = false)]
    public sealed class CustomAuthorization : AuthorizeAttribute
    {

        //...

         protected override bool AuthorizeCore(HttpContextBase httpContext)
        { 
           // custom auth logic, returns true if authorized, false otherwise
        }
    }

System.Web.Mvc从而不是扩展System.Web.Http。但是,我AuthorizeCore(HttpContextBase httpContext)的从未被调用。

我的CustomAuthorization类中有一个构造函数,它接受params string[]一个特定操作所需的自定义权限的名称,例如:

[CustomAuthorization("Some Permission")]
[System.Web.Http.HttpGet]
public CustomResponse SomeAction()
{
   //...
}

我希望实现的是,每当对使用该[CustomAuthorization]属性装饰的操作发出请求时,都会触发我的授权代码。如果授权失败,我还希望能够返回更具描述性的身份验证失败消息。不只是:

{"Message":"Authorization has been denied for this request."}

我相信这涉及到覆盖HandleUnauthorizedRequest,但我怎样才能提供我自己的 JSON 响应将序列化的对象?

总而言之,即使我用我的[CustomAuthorization]属性装饰动作,框架也不会调用我的授权代码。它只是直接执行动作中的代码。

其次,如何实现未经授权的响应来序列化自定义 JSON 对象?

提前感谢您的帮助,非常感谢!

4

1 回答 1

6

好的,我最终解决了它,这就是:

public override void OnAuthorization(HttpActionContext actionContext) {

    ....

    if (!authorized) {

       actionContext.Response =    
                  actionContext.Request.CreateResponse(
                                   HttpStatusCode.Unauthorized, 
                                   new  Dictionary<string, string> { 
                                                { "hello", "world" } 
                                   }
                  );

    }

}

产生结果:

{"hello":"world"}

Dictionary 对象是任意的,它只是说明一个类型将成功序列化为 Response。

如果您不设置,actionContext.Response则请求将继续执行目标操作 - 即。它被认为是被这个过滤器授权的。

希望对处于这个位置的其他人有所帮助。

于 2013-03-20T22:16:59.073 回答