2

我有一个 ASP.NET OData 站点,它在 WebApiConfig 文件中有以下内容:

config.Filters.Add(new AuthorizeAttribute())

这会强制所有调用者在调用任何控制器之前进行身份验证。
不幸的是,这也强制用户身份验证访问“$metadata”网址。
我需要对所有控制器访问进行全局强制身份验证,同时还允许匿名访问“$metadata”url。

4

3 回答 3

5

我意识到这个问题已经得到回答,但我对接受的答案有几个担忧:

  • 假设元数据端点不会改变
  • 如果添加/移动端点,则需要更新代码
  • 不处理根端点(没有 /$meatdata)

我同意创建你自己的AuthorizeAttribute,但我会以不同的方式实现该方法。

    protected override bool IsAuthorized(HttpActionContext actionContext)
    {
        if (actionContext.ControllerContext.Controller is System.Web.OData.MetadataController)
            return true;

        return base.IsAuthorized(actionContext);
    }

我的解决方案只是检查正在访问的控制器是否是 OData 的 MetadataController。如果是,则允许任何人访问,否则,请通过正常的授权检查。

于 2017-02-07T18:05:09.923 回答
3

创建一个派生自AuthorizeAttribute并覆盖该IsAuthorized方法的自定义过滤器,如下所示:

public class CustomAuthorizationFilter : AuthorizeAttribute
{
    protected override bool IsAuthorized(HttpActionContext actionContext)
    {
        if (actionContext.Request.RequestUri.AbsolutePath == "/$metadata" ||
            actionContext.Request.RequestUri.AbsolutePath == "/%24metadata")
        {
            return true;
        }

        return base.IsAuthorized(actionContext);
    }
}

注册过滤器:

config.Filters.Add(new CustomAuthorizationFilter());
于 2016-03-09T18:04:35.030 回答
0

我想再添加一个选项。如果您替换默认的 Web API 依赖解析器 (HttpConfiguration.DependencyResolver = YourIDependencyResolver),您可以拦截对元数据控制器(ODataMetadataController 或 MetadataController,取决于 OData 库的版本)的请求并将其替换为您自己的实现,如下所示:

[AllowAnonymous, OverrideAuthorization]
public class AnonymousODataMetadataController : ODataMetadataController
{
    protected override void Initialize(HttpControllerContext controllerContext)
    {
        // You must replace the controller descriptor because it appears
        // that the AuthorizeAttribute is pulled from the 
        // controllerContext.ControllerDescriptor.ControllerType (which 
        // is the original type) instead of from controlContext.Controller
        // (which is the type we injected).
        controllerContext.ControllerDescriptor = new HttpControllerDescriptor
        {
            Configuration = controllerContext.Configuration,
            ControllerName = GetType().Name,
            ControllerType = GetType()
        };

        base.Initialize(controllerContext);
    }
}

有关Web API 依赖注入系统的信息,请参阅ASP.NET Web API 2中的依赖注入。

于 2017-08-19T07:36:55.923 回答