Это немного озадачило меня. По-видимому, ни одна из часто встречающихся аналогичных ситуаций, по-видимому, не применяется. Я, вероятно, пропустил что-то очевидное, но я не вижу его.
В моем веб-приложении Mvc я использую атрибуты Authorize и AllowAnonymous таким образом, что вы должны явно открыть действие как общедоступное, а не блокировать безопасные области сайта. Я предпочитаю этот подход. Однако я не могу получить такое же поведение в своем WebAPI.
Я написал специальный атрибут авторизации, который наследует от System.Web.Http.AuthorizeAttribute следующее:
[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, Inherited = true, AllowMultiple = true)]
public class MyAuthorizationAttribute : System.Web.Http.AuthorizeAttribute
Я зарегистрировал его как фильтр:
public static void RegisterHttpFilters(HttpFilterCollection filters)
{
filters.Add(new MyAuthorizationAttribute());
}
Все работает так, как ожидалось, действия больше не доступны без учетных данных. Проблема в том, что теперь следующий метод не позволит атрибуту AllowAnonymous делать это:
[System.Web.Http.AllowAnonymous]
public class HomeController : ApiController
{
[GET("/"), System.Web.Http.HttpGet]
public Link[] Index()
{
return new Link[]
{
new SelfLink(Request.RequestUri.AbsoluteUri, "api-root"),
new Link(LinkRelConstants.AuthorizationEndpoint, "OAuth/Authorize/", "authenticate"),
new Link(LinkRelConstants.AuthorizationTokenEndpoint , "OAuth/Tokens/", "auth-token-endpoint")
};
}
}
Наиболее распространенным сценарием, похоже, является смешение двух атрибутов Authorize/AllowAnonymous. System.Web.Mvc предназначен для веб-приложений, а System.Web.Http - для WebAPI (как я понимаю, так или иначе).
Оба атрибута, которые я использую, принадлежат одному пространству имен - System.Web.Http. Я предположил, что это просто наследует базовую функциональность и позволяет мне вводить код, который мне нужен в методе OnAuthotize.
В соответствии с документацией атрибут AllowAnonymous работает внутри метода OnAuthorize, который я вызываю сразу:
public override void OnAuthorization(HttpActionContext actionContext)
{
base.OnAuthorization(actionContext);
Любая мысль была бы оценена по достоинству.
Кто-нибудь столкнулся с этой проблемой раньше и нашел основную причину?