只允许访问组,但允许所有用户访问API。
只允许访问组,但允许所有用户访问API。
提问于 2013-03-03 21:28:21
我有一个mvc4内联网网站,我正在致力于这个网站的前端,只有少数AD组可以访问,但我也使用mvc4的web功能,我需要开放给所有用户,甚至匿名用户。我尝试过使用Web.config,但这会阻止所有不属于其中一个组的用户。
如何在保持API打开的同时保护前端的安全?
更新:
我只是想,我想避免用像[Authorize]这样的属性来标记每个方法
回答 1
Stack Overflow用户
回答已采纳
发布于 2013-03-04 03:27:39
弄明白了。
我只是应用了一个筛选器来检查每个控制器的名称空间。由于我的所有API控制器都在HSServer.Controllers.Api中,所有的web控制器都在HSServer.Controllers.Web中,所以在我的FilterConfig.cs中,这段代码工作起来很有魅力。
public class FilterConfig
{
public static void RegisterGlobalFilters(GlobalFilterCollection filters)
{
filters.Add(new FrontendAuthorize());
filters.Add(new HandleErrorAttribute());
}
}
public class FrontendAuthorize : AuthorizeAttribute
{
public override void OnAuthorization(AuthorizationContext filterContext)
{
try
{
if (!filterContext.Controller.GetType().Namespace.StartsWith("HSServer.Controllers.Api"))
base.OnAuthorization(filterContext);
}
catch (NullReferenceException)
{
base.OnAuthorization(filterContext);
}
}
}页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/15191117
复制相关文章
相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号