在.NET中有兩個AuthorizeAttribute類,
一個定義在System.Web.Http命名空間下
#region 程序集 System.Web.Http, Version=5.2.3.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35 // E:\src\packages\Microsoft.AspNet.WebApi.Core.5.2.3\lib\net45\System.Web.Http.dll #endregion using System.Web.Http.Controllers; using System.Web.Http.Filters; namespace System.Web.Http { // // 摘要: // 指定用於驗證請求的 System.Security.Principal.IPrincipal 的授權篩選器。 [AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, Inherited = true, AllowMultiple = true)] public class AuthorizeAttribute : AuthorizationFilterAttribute { // // 摘要: // 初始化 System.Web.Http.AuthorizeAttribute 類的新實例。 public AuthorizeAttribute(); // // 摘要: // 獲取或設置授權角色。 // // 返回結果: // 角色字符串。 public string Roles { get; set; } // // 摘要: // 獲取此特性的唯一標識符。 // // 返回結果: // 此特性的唯一標識符。 public override object TypeId { get; } // // 摘要: // 獲取或設置授權用戶。 // // 返回結果: // 用戶字符串。 public string Users { get; set; } // // 摘要: // 為操作授權時調用。 // // 參數: // actionContext: // 上下文。 // // 異常: // T:System.ArgumentNullException: // 上下文參數為 null。 public override void OnAuthorization(HttpActionContext actionContext); // // 摘要: // 處理授權失敗的請求。 // // 參數: // actionContext: // 上下文。 protected virtual void HandleUnauthorizedRequest(HttpActionContext actionContext); // // 摘要: // 指示指定的控件是否已獲得授權。 // // 參數: // actionContext: // 上下文。 // // 返回結果: // 如果控件已獲得授權,則為 true;否則為 false。 protected virtual bool IsAuthorized(HttpActionContext actionContext); } }
另一個在System.Web.Mvc命名空間下
#region 程序集 System.Web.Mvc, Version=5.2.3.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35 // E:\src\packages\Microsoft.AspNet.Mvc.5.2.3\lib\net45\System.Web.Mvc.dll #endregion namespace System.Web.Mvc { // // 摘要: // 指定對控制器或操作方法的訪問只限於滿足授權要求的用戶。 [AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, Inherited = true, AllowMultiple = true)] public class AuthorizeAttribute : FilterAttribute, IAuthorizationFilter { // // 摘要: // 初始化 System.Web.Mvc.AuthorizeAttribute 類的新實例。 public AuthorizeAttribute(); // // 摘要: // 獲取或設置有權訪問控制器或操作方法的用戶角色。 // // 返回結果: // 有權訪問控制器或操作方法的用戶角色。 public string Roles { get; set; } // // 摘要: // 獲取此特性的唯一標識符。 // // 返回結果: // 此特性的唯一標識符。 public override object TypeId { get; } // // 摘要: // 獲取或設置有權訪問控制器或操作方法的用戶。 // // 返回結果: // 有權訪問控制器或操作方法的用戶。 public string Users { get; set; } // // 摘要: // 在過程請求授權時調用。 // // 參數: // filterContext: // 篩選器上下文,它封裝有關使用 System.Web.Mvc.AuthorizeAttribute 的信息。 // // 異常: // T:System.ArgumentNullException: // filterContext 參數為 null。 public virtual void OnAuthorization(AuthorizationContext filterContext); // // 摘要: // 重寫時,提供一個入口點用於進行自定義授權檢查。 // // 參數: // httpContext: // HTTP 上下文,它封裝有關單個 HTTP 請求的所有 HTTP 特定的信息。 // // 返回結果: // 如果用戶已經過授權,則為 true;否則為 false。 // // 異常: // T:System.ArgumentNullException: // httpContext 參數為 null。 protected virtual bool AuthorizeCore(HttpContextBase httpContext); // // 摘要: // 處理未能授權的 HTTP 請求。 // // 參數: // filterContext: // 封裝有關使用 System.Web.Mvc.AuthorizeAttribute 的信息。filterContext 對象包括控制器、HTTP 上下文、請求上下文、操作結果和路由數據。 protected virtual void HandleUnauthorizedRequest(AuthorizationContext filterContext); // // 摘要: // 在緩存模塊請求授權時調用。 // // 參數: // httpContext: // HTTP 上下文,它封裝有關單個 HTTP 請求的所有 HTTP 特定的信息。 // // 返回結果: // 對驗證狀態的引用。 // // 異常: // T:System.ArgumentNullException: // httpContext 參數為 null。 protected virtual HttpValidationStatus OnCacheAuthorization(HttpContextBase httpContext); } }
兩者主要區別在於:
- System.Web.Http 這個主要是用在Web Api
- System.Web.Mvc 這個主要用在 ASP.NET MVC
- System.Web.Http 版本中,傳入參數為HttpActionContext
public override void OnAuthorization(HttpActionContext actionContext);
System.Web.Mvc版本中,傳入參數為AuthorizationContext
public virtual void OnAuthorization(AuthorizationContext filterContext);
看似相同,但是在處理自定義權限的時候,兩者思路相近實際實現方式上有很大的差別。
下面列出兩種屬性下獲取Cookie的不同:
MVC:
public class Foo : AuthorizeAttribute { public override void OnAuthorization(AuthorizationContext filterContext) { HttpCookie cookie = filterContext.HttpContext.Request.Cookies.Get("Bar"); } }
HTTP(Web Api):
public class Foo : AuthorizeAttribute { public override void OnAuthorization(HttpActionContext actionContext) { var cookies = actionContext.Request.Headers.GetCookies("Bar").FirstOrDefault(); var cookie = cookies["Bar"]; } }
還有就是自定義權限處理的時候,寫法也不盡相同,后續文章會進行介紹