我需要使用活动目录中的一个或多个特定用户来保护我的 Web api,在 web.config 中我有以下代码:
<configSections>
<section name="entityFramework" type="System.Data.Entity.Internal.ConfigFile.EntityFrameworkSection, EntityFramework, Version=6.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089" requirePermission="false" />
<section name="users" type="System.Configuration.NameValueFileSectionHandler,System, Version=1.0.3300.0, Culture=neutral, PublicKeyToken=b77a5c561934e089" />
</configSections>
<users>
<add key="user" value="domain\loginname" />
</users>
<system.web>
<authentication mode="Windows" />
<compilation debug="true" targetFramework="4.5" />
<httpRuntime targetFramework="4.5" />
</system.web>
然后我有一个自定义授权属性,它从上面显示的 web.config 部分读取用户。
public class MyAuthorizeAttribute : AuthorizeAttribute
{
public MyAuthorizeAttribute(params string[] userKeys)
{
List<string> users = new List<string>(userKeys.Length);
var allUsers = (NameValueCollection)ConfigurationManager.GetSection("users");
foreach (var userKey in userKeys)
{
users.Add(allUsers[userKey]);
}
this.Users = string.Join(",", users);
}
protected override bool AuthorizeCore(HttpContextBase httpContext)
{
bool isAuthorized = base.AuthorizeCore(httpContext);
bool isRequestHeaderOk = false;
return isAuthorized && isRequestHeaderOk;
}
}
问题是授权核心永远不会在调试器中命中,浏览器中的 JSON 始终显示,即使我放置硬编码 false ,断点也永远不会在那里命中。
然后我用自定义授权属性装饰我的控制器
[MyAuthorize("user")]
[ResponseType(typeof(tblCargo))]
public IHttpActionResult GettblCargosByActivo()
{
var query = from c in db.tblCargos
orderby c.strCargo
select c;
//var result = Newtonsoft.Json.JsonConvert.SerializeObject(query);
//return result;
return Ok(query);
}
在 IIS 中,唯一启用的方法是 Windows 身份验证
当我从另一台计算机浏览该站点时,我会看到身份验证窗口,但上面显示的授权方法永远不会被命中。
这是一篇很好的文章,引导我走向正确的方向(我相信)Asp.net WebApi 中的自定义授权 - 一团糟? https://stackoverflow.com/questions/26464848/custom-authorization-in-asp-net-webapi-what-a-mess
