自定义AuthorizeAttribute
Posted 张善友
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了自定义AuthorizeAttribute相关的知识,希望对你有一定的参考价值。
网站的权限判断是一个非常普遍的需求,从文章ASP.NET MVC的Action Filter中我们知道实现这样的需求只要从AuthorizeAttribute集成,重写相关的判断逻辑就可以了。AuthorizeCore方法返回false,MVC 此时将返回的ActionResult是HttpUnauthorizedResult,从HttpUnauthorizedResult的源码可以看出,HttpUnauthorizedResult的执行很简单,就是设置当前的HttpContext.Response的状态码为401,这样就回激活authentication module 执行它默认的 unauthorized handler,也就是跳转到登陆页面的,这似乎也不符合逻辑,认证和授权应该是验证的两个方面。这不符合要求,用户已经登陆成功了,只是没有权限而已。我这里只是重写OnAuthorization方法,重定向到一个页面而已,也可以写一个ActionResult。
网站的权限判断是一个非常普遍的需求,从文章ASP.NET MVC的Action Filter中我们知道实现这样的需求只要从AuthorizeAttribute集成,重写相关的判断逻辑就可以了。这里记录一下:
namespace TokenAcl.Web.Helper
public class TokenAclAuthorizeAttribute : AuthorizeAttribute
protected override bool AuthorizeCore(HttpContextBase httpContext)
bool result = false;
if (httpContext == null)
throw new ArgumentNullException("httpContext");
string[] users = Users.Split(,);
string[] roles = Roles.Split(,);
if (!httpContext.User.Identity.IsAuthenticated)
return false;
if (roles.Length != 0)
List<Role> rightRoles = RightClient.GetAllRole(TakenAclMenu.SystemID, TakenAclMenu.UserID);
foreach (var role in roles)
if (rightRoles.Where(x => x.Code == role).Count() > 0)
result = true;
break;
if (!result)
httpContext.Response.StatusCode = 403;
return result;
public override void OnAuthorization(AuthorizationContext filterContext)
base.OnAuthorization(filterContext);
if (filterContext.HttpContext.Response.StatusCode == 403)
filterContext.Result = new RedirectResult("/Admin/Dashboard");
从AuthorizeAttribute继承过来实现了一个类TokenAclAuthorizeAttribute ,重写了方法AuthorizeCore,使用自己开发的权限系统进行权限的验证,如果没有通过认证,这表示没有权限访问,设置HTTP 状态代码为403。 这样还是不行,还得重写另一个方法OnAuthorization。AuthorizeCore方法返回false,MVC 此时将返回的ActionResult是HttpUnauthorizedResult:
public class HttpUnauthorizedResult : ActionResult
public override void ExecuteResult(ControllerContext context)
if (context == null)
throw new ArgumentNullException("context");
// 401 is the HTTP status code for unauthorized access - setting this
// will cause the active authentication module to execute its default
// unauthorized handler
context.HttpContext.Response.StatusCode = 401;
从HttpUnauthorizedResult的源码可以看出,HttpUnauthorizedResult的执行很简单,就是设置当前的HttpContext.Response的状态码为401,这样就回激活authentication module 执行它默认的 unauthorized handler,也就是跳转到登陆页面的,这似乎也不符合逻辑,认证和授权应该是验证的两个方面。这不符合要求,用户已经登陆成功了,只是没有权限而已。我这里只是重写OnAuthorization方法,重定向到一个页面而已,也可以写一个ActionResult。
以上是关于自定义AuthorizeAttribute的主要内容,如果未能解决你的问题,请参考以下文章
自定义AuthorizeAttribute OnAuthorizationAsync Function
ASP.NET Core 中如何通过 AuthorizeAttribute 做自定义验证?
IdentityServer4 - AuthorizeAttribute 不验证 JWT 令牌/自定义用户存储
扩展 AuthorizeAttribute 覆盖 AuthorizeCore 或 OnAuthorization