在.NET中有两个AuthorizeAttribute类,
一个定义在System.Web.Http命名空间下
#region 程序集 System.Web.Http, Version=5.2.3.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35 // E:srcpackagesMicrosoft.AspNet.WebApi.Core.5.2.3lib et45System.Web.Http.dll #endregion using System.Web.Http.Controllers; using System.Web.Http.Filters; namespace System.Web.Http { // // 摘要: // 指定用于验证请求的 System.Security.Principal.IPrincipal 的授权筛选器。 [AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, Inherited = true, AllowMultiple = true)] public class AuthorizeAttribute : AuthorizationFilterAttribute { // // 摘要: // 初始化 System.Web.Http.AuthorizeAttribute 类的新实例。 public AuthorizeAttribute(); // // 摘要: // 获取或设置授权角色。 // // 返回结果: // 角色字符串。 public string Roles { get; set; } // // 摘要: // 获取此特性的唯一标识符。 // // 返回结果: // 此特性的唯一标识符。 public override object TypeId { get; } // // 摘要: // 获取或设置授权用户。 // // 返回结果: // 用户字符串。 public string Users { get; set; } // // 摘要: // 为操作授权时调用。 // // 参数: // actionContext: // 上下文。 // // 异常: // T:System.ArgumentNullException: // 上下文参数为 null。 public override void OnAuthorization(HttpActionContext actionContext); // // 摘要: // 处理授权失败的请求。 // // 参数: // actionContext: // 上下文。 protected virtual void HandleUnauthorizedRequest(HttpActionContext actionContext); // // 摘要: // 指示指定的控件是否已获得授权。 // // 参数: // actionContext: // 上下文。 // // 返回结果: // 如果控件已获得授权,则为 true;否则为 false。 protected virtual bool IsAuthorized(HttpActionContext actionContext); } }
另一个在System.Web.Mvc命名空间下
#region 程序集 System.Web.Mvc, Version=5.2.3.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35 // E:srcpackagesMicrosoft.AspNet.Mvc.5.2.3lib et45System.Web.Mvc.dll #endregion namespace System.Web.Mvc { // // 摘要: // 指定对控制器或操作方法的访问只限于满足授权要求的用户。 [AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, Inherited = true, AllowMultiple = true)] public class AuthorizeAttribute : FilterAttribute, IAuthorizationFilter { // // 摘要: // 初始化 System.Web.Mvc.AuthorizeAttribute 类的新实例。 public AuthorizeAttribute(); // // 摘要: // 获取或设置有权访问控制器或操作方法的用户角色。 // // 返回结果: // 有权访问控制器或操作方法的用户角色。 public string Roles { get; set; } // // 摘要: // 获取此特性的唯一标识符。 // // 返回结果: // 此特性的唯一标识符。 public override object TypeId { get; } // // 摘要: // 获取或设置有权访问控制器或操作方法的用户。 // // 返回结果: // 有权访问控制器或操作方法的用户。 public string Users { get; set; } // // 摘要: // 在过程请求授权时调用。 // // 参数: // filterContext: // 筛选器上下文,它封装有关使用 System.Web.Mvc.AuthorizeAttribute 的信息。 // // 异常: // T:System.ArgumentNullException: // filterContext 参数为 null。 public virtual void OnAuthorization(AuthorizationContext filterContext); // // 摘要: // 重写时,提供一个入口点用于进行自定义授权检查。 // // 参数: // httpContext: // HTTP 上下文,它封装有关单个 HTTP 请求的所有 HTTP 特定的信息。 // // 返回结果: // 如果用户已经过授权,则为 true;否则为 false。 // // 异常: // T:System.ArgumentNullException: // httpContext 参数为 null。 protected virtual bool AuthorizeCore(HttpContextBase httpContext); // // 摘要: // 处理未能授权的 HTTP 请求。 // // 参数: // filterContext: // 封装有关使用 System.Web.Mvc.AuthorizeAttribute 的信息。filterContext 对象包括控制器、HTTP 上下文、请求上下文、操作结果和路由数据。 protected virtual void HandleUnauthorizedRequest(AuthorizationContext filterContext); // // 摘要: // 在缓存模块请求授权时调用。 // // 参数: // httpContext: // HTTP 上下文,它封装有关单个 HTTP 请求的所有 HTTP 特定的信息。 // // 返回结果: // 对验证状态的引用。 // // 异常: // T:System.ArgumentNullException: // httpContext 参数为 null。 protected virtual HttpValidationStatus OnCacheAuthorization(HttpContextBase httpContext); } }
两者主要区别在于:
- System.Web.Http 这个主要是用在Web Api
- System.Web.Mvc 这个主要用在 ASP.NET MVC
- System.Web.Http 版本中,传入参数为HttpActionContext
public override void OnAuthorization(HttpActionContext actionContext);
System.Web.Mvc版本中,传入参数为AuthorizationContext
public virtual void OnAuthorization(AuthorizationContext filterContext);
看似相同,但是在处理自定义权限的时候,两者思路相近实际实现方式上有很大的差别。
下面列出两种属性下获取Cookie的不同:
MVC:
public class Foo : AuthorizeAttribute { public override void OnAuthorization(AuthorizationContext filterContext) { HttpCookie cookie = filterContext.HttpContext.Request.Cookies.Get("Bar"); } }
HTTP(Web Api):
public class Foo : AuthorizeAttribute { public override void OnAuthorization(HttpActionContext actionContext) { var cookies = actionContext.Request.Headers.GetCookies("Bar").FirstOrDefault(); var cookie = cookies["Bar"]; } }
还有就是自定义权限处理的时候,写法也不尽相同,后续文章会进行介绍