Enforce Action Filter для всех действий контроллера (С#/ASP.NET MVC)

Ответ 1

Запустив jeef3, я придумал это. Он может использовать большую проверку ошибок и надежность, например, несколько ограниченных действий, но общая идея работает.

В вашем конкретном случае вы можете проверить значение сеанса и решить также отказаться от авторизации.

public class AuthorizeWithExemptionsAttribute : AuthorizeAttribute
{
    public string Exemption { get; set; }
    public override void OnAuthorization(AuthorizationContext filterContext)
    {
        if (filterContext.RouteData.GetRequiredString("action") == Exemption)
            return;

        base.OnAuthorization(filterContext);
    }

}

Использование:

[AuthorizeWithExemptions(Roles="admin", ExemptAction="Index")]
public class AdminController : Controller
...

Ответ 2

Посмотрите мою статью о codeproject -

http://www.codeproject.com/KB/web-security/AuthorizeWithExemptions.aspx

В этой статье я предоставлю вам решение для обеспечения безопасности приложений ASP.NET MVC-приложений таким образом, чтобы все действия были защищены, за исключением тех, которые вы определяете как незащищенные.

snipper из кода:

public override void OnAuthorization(AuthorizationContext filterContext)
{
    ActionDescriptor action = filterContext.ActionDescriptor;
    bool IsUnsecured = action.GetCustomAttributes(
                         typeof(UnsecuredActionAttribute), true).Count() > 0;

    //If doesn't have UnsecuredActionAttribute - then do the authorization
    filterContext.HttpContext.SkipAuthorization = IsUnsecured;

    base.OnAuthorization(filterContext);
}

Ответ 3

Я понимаю, что вопрос довольно устаревший, но в любом случае.. Если вы хотите применить фильтр ко всем действиям, просто добавьте следующие строки в Global.asax:

protected void Application_Start()
{
    // your code here and then
    RegisterGlobalFilters(GlobalFilters.Filters);
}    

public static void RegisterGlobalFilters(GlobalFilterCollection filters)
{
    filters.Add(new MyActionFilterAttribute());
}

И в фильтре действий вы можете просто проверить, имеют ли действие какие-либо другие атрибуты следующим образом:

public void OnActionExecuting(ActionExecutingContext filterContext)
{
    if (filterContext.ActionDescriptor.IsDefined(typeof(AnotherActionAttribute), false))
    {
        // do what you want to do
    }
}

Ответ 4

Возможно, попробуйте добавить свойство Except к вашему первому атрибуту?

[MyAuthenticate(Exempt="View")]
public class MyController : Controller
{
    public ActionResult Edit()
    {
        // Protected
    }

    public ActionResult View()
    {
        // Accessible by all
    }
}

Ответ 5

Вы можете добавить атрибут к классу, чтобы он применим ко всем методам в этом классе

[Authenticate]
public class AccountController : Controller
{
    public ActionResult Index()
    {
        return View();
    }
}

Я не знаю, как исключить конкретный метод из атрибута уровня класса. Может быть, использовать отдельный контроллер для неавторизованных запросов?

Ответ 6

Для тех, кто читает это в 2013 году, MVC4 теперь поддерживает использование [AllowAnonymous]

Вы можете включить авторизацию на контроллере, а затем разрешить анонимный любые функции, которые вы не хотите разрешать.

Пример:

[Авторизоваться] public class HomeController: Controller {

[AllowAnonymous]
public ActionResult Index()
{

} 

}

Будет ли это работать с пользовательским фильтром [MyAuthorize] или работает только с [Авторизовать]

Ответ 7

Для тех, кто читает это в 2013 году, MVC4 теперь поддерживает использование [AllowAnonymous]

Вы можете включить авторизацию на контроллере, а затем разрешить анонимность для любых функций, которые вы не хотите разрешать.

Пример:

[Authorize]
public class HomeController : Controller
{

    [AllowAnonymous]
    public ActionResult Index()
    {

    }
}