扩展 AuthorizeAttribute 覆盖 AuthorizeCore 或 OnAuthorization

Question

我使用 ASP.NET MVC 创建一个自定义 Authorize 属性来处理一些自定义授权逻辑。我看过很多例子，它非常简单，但我的问题是哪个方法最好重写，AuthorizeCore 还是 OnAuthorization？我见过很多例子，其中之一是压倒一切的。有区别吗？

Answer 1

线索就在返回类型中：

AuthorizeCore 返回一个布尔值 - 它是决策代码。这应该仅限于查看用户的身份并测试他们所处的角色等。基本上它应该回答以下问题：

我希望该用户继续吗？

它不应该执行任何其他活动“在一边”。

OnAuthorize 返回 void - 这是您放置此时需要发生的任何功能的地方。例如写入日志、在会话中存储一些数据等。

Answer 2

您应该将任何必须运行的代码放入 AuthorizeCore 中，无论用户是第一次获得授权，还是使用缓存的授权。

如果您查看源代码，您可以看到 AuthorizeCore 被 OnAuthorize 和 OnCacheAuthorization 调用。这允许缓存授权，但仍然允许某些操作并做出有关授权的实际决策。

如果您需要 AuthorizationContext 中的某些内容，则可以创建一个属性来保存该信息，然后在 AuthorizeCore 方法中访问该信息。