使用授权过滤器区分控制器操作

Question

我想要 4 个具有相同名称的操作（控制器方法可能有不同的名称，但它们的 ActionName() 属性对于所有 4 个操作来说都是相同的：

[ActionName("Same-name")]
public ActionResult AnonAction() { ... }

[HttpPost]
[ActionName("Same-name")]
public ActionResult AnonAction(ModelData data) { ... }

[Authorize]
[ActionName("Same-name")]
public ActionResult AuthAction() { ... }

[HttpPost]
[Authorize]
[ActionName("Same-name")]
public ActionResult AuthAction(OtherData data) { ... }

第一对操作在用户 <当用户经过身份验证时，第二

对操作方法会按预期工作，但我不能。它似乎使最后一个工作正常，它抛出一个异常，告诉我它无法区分 POST 操作，我不认为我在这里做错了什么或忘记做某事，我只是希望它不是一个。 Asp.net MVC 2 RC2 中的错误

有人看到我的操作有任何缺陷吗？

Answer 1

@Paco是对的。 AuthorizeAttribute 与操作选择没有任何关系。他的建议感觉不对，所以感谢他，我深入研究了 MVC 代码，并自己想出了最合适的解决方案。

本来的解决方案

MVC 中的这些东西有一个可扩展点。基本上，您要做的就是编写自己的 ActionMethodSelectionAttribute 来处理此问题。我创建了一个根据用户授权（匿名或授权）选择操作的方法。下面是代码：

/// <summary>
/// Attribute restricts controller action execution only to either anonymous or authenticated users
/// </summary>
[AttributeUsage(AttributeTargets.Method, AllowMultiple = false, Inherited = false)]
public class AllowAuthenticatedAttribute : ActionMethodSelectorAttribute
{
    /// <summary>
    /// Gets or sets a value indicating whether this <see cref="AllowAuthorizedAttribute"/> allows authenticated or anonymous users to execute decorated controller action.
    /// </summary>
    /// <value><c>true</c> if authenticated users are allowed to execute the action; <c>false</c> if anonymous users are allowed to execute the action.</value>
    public bool Authenticated { get; set; }

    /// <summary>
    /// Initializes a new instance of the <see cref="AllowAuthorizedAttribute"/> class.
    /// </summary>
    /// <param name="authenticated">If set to <c>true</c> only authorized users will be able to access this action.</param>
    public AllowAuthenticatedAttribute(bool authenticated)
    {
        this.Authenticated = authenticated;
    }

    /// <summary>
    /// Determines whether the action method selection is valid for the specified controller context.
    /// </summary>
    /// <param name="controllerContext">The controller context.</param>
    /// <param name="methodInfo">Information about the action method.</param>
    /// <returns>
    /// true if the action method selection is valid for the specified controller context; otherwise, false.
    /// </returns>
    public override bool IsValidForRequest(ControllerContext controllerContext, System.Reflection.MethodInfo methodInfo)
    {
        if (controllerContext == null)
        {
            throw new ArgumentNullException("controllerContext");
        }
        return this.Authenticated == controllerContext.HttpContext.User.Identity.IsAuthenticated;
    }
}

附加观察

当我用自定义属性修饰操作方法时，我仍然遇到相同的异常，直到我将 [HttpGet] 添加到我的 GET 操作中。这是为什么？我在Pro ASP.NET MVC Framework一书中的流程图中找到了答案（自己检查一下）。抛出异常是因为 ActionMethodSelectorAttribute 的操作方法不止一个。通常我们只装饰 POST 操作，但在这种情况下，所有这些操作都被装饰了。 2 个用于匿名用户，2 个用于经过身份验证的用户。这就是为什么当您向操作方法添加更多选择器属性时，必须在操作方法上使用 HttpGet 和 HttpPost 。

我的控制器操作现在看起来像这样

[HttpGet]
[AllowAuthenticated(false)]
[ActionName("Same-name")]
public ActionResult AnonAction() { ... }

[HttpPost]
[AllowAuthenticated(false)]
[ActionName("Same-name")]
public ActionResult AnonAction(ModelData data) { ... }

[HttpGet]
[Authorize]
[AllowAuthenticated(true)]
[ActionName("Same-name")]
public ActionResult AuthAction() { ... }

[HttpPost]
[Authorize]
[AllowAuthenticated(true)]
[ActionName("Same-name")]
public ActionResult AuthAction(OtherData data) { ... }

Answer 2

您必须为授权和非授权操作创建路由约束。 System.Web.Routing 没有对授权属性执行任何操作。