Итак, не существует ярлыка в применении атрибута authorize в asp.net MVC?

Question

Если у меня действительно большая система, требующая аутентификации, мне сложно утопить мои контроллеры/методы действий как [Авторизовать]. Свободная безопасность, по-видимому, является хорошей идеей, предложенной Jon Gallaway, но нам все равно нужно позаботиться о каждом контроллере или методе действий, требующем аутентификации. Мне просто интересно, есть ли лучший подход, что-то даже лучше, чем свободная безопасность. Есть предположения?

Answer 1

Вы должны добавить [Authorize] в класс BaseAuthorizedController:Controller. Затем для классов, которые, как вы знаете, заблокировали функции. Вывод из этого класса заставит всех членов класса придерживаться базового класса атрибута [Authorize], и вам не нужно беспокоиться о каждой функции.

Answer 2

Фильтр Authorize работает так, как он работает, и я не думаю, что есть готовое решение для того, чего вы пытаетесь достичь. Если у меня нет неправильного вопроса, вы хотите, чтобы все ваши контроллеры и действия контроллера были защищены от несанкционированного доступа по умолчанию, без каких-либо дополнительных шагов, чтобы аннотировать каждый контроллер/действие с помощью фильтра авторизации, правильно? Если это так, возможно, хорошим решением будет создание вашего собственного контроллера путем расширения класса Controller. Затем переопределите метод OnAuthorization. Например ...

public class CustomController : Controller 
{ 
    protected override void OnAuthorization(AuthorizationContext filterContext) 
    { 
     if (context.HttpContext.User.Identity.IsAuthenticated) 
     { 
      ... 
     } 
    } 
} 

Затем вы можете проверить, был ли задан AllowAnonymous фильтр или нет