ASP MVC Autoriza todas las acciones excepto algunas

Question

Tengo un controlador y me gustaría solicitar la Autorización para todas las acciones por defecto, excepto un par. Por lo tanto, en el siguiente ejemplo, todas las acciones deben requerir autenticación, excepto el índice. No quiero decorar cada acción con Authorize, solo quiero anular la autorización predeterminada en ciertas circunstancias, probablemente con un filtro personalizado como NotAuthorize.

[Authorize] 
public class HomeController : BaseController 
{ 
    [NotAuthorize] 
    public ActionResult Index() 
    { 
     // This one wont 
     return View(); 
    } 

    public ActionResult About() 
    { 
     // This action will require authorization 
     return View(); 
    } 
} 

Answer 1

Ok, esto es lo que hice. Si hay una mejor manera házmelo saber.

public class NotAuthorizeAttribute : FilterAttribute 
{ 
    // Does nothing, just used for decoration 
} 

public class BaseController : Controller 
{ 
    protected override void OnActionExecuting(ActionExecutingContext filterContext) 
    { 
     // Check if this action has NotAuthorizeAttribute 
     object[] attributes = filterContext.ActionDescriptor.GetCustomAttributes(true); 
     if (attributes.Any(a => a is NotAuthorizeAttribute)) return; 

     // Must login 
     if (!filterContext.HttpContext.User.Identity.IsAuthenticated) 
     { 
      filterContext.Result = new HttpUnauthorizedResult(); 
     } 
    } 
} 

Answer 2

Esto es lo que yo haría, similar a la respuesta de Craig con un par de cambios:

1) Crear un atributo común derivan de System.Attribute (sin necesidad de derivar de FilterAttribute ya que no son va a usar cualquier cosa que proporcione FilterAttribute).

Quizás cree una jerarquía de clases de atributos para que pueda realizar pruebas en función de la jerarquía, p.

Attribute 
    AuthorizationAttribute 
     AuthorizationNotRequiredAttribute 
     AuthorizationAdminUserRequiredAttribute 
      AuthorizationSuperUserRequiredAttribute 

2) En su BaseController reemplazar el método OnAuthorization en lugar de la OnActionExecuting método:

protected override void OnAuthorization(AuthorizationContext filterContext) 
{ 
    var authorizationAttributes = filterContext.ActionDescriptor.GetCustomAttributes(true).OfType<AuthorizationAttribute>(); 
    bool accountRequired = !authorizationAttributes.Any(aa => aa is AuthorizationNotRequiredAttribute); 

Me gusta el enfoque de ser seguro de forma predeterminada: incluso si se olvida de poner un atributo en la acción al menos requerirá que el usuario inicie sesión.

Answer 3

Poco tarde para la fiesta, pero terminé creando un atributo de autenticación a nivel de controlador y un atributo de autenticación a nivel de acción y simplemente omitiendo la autenticación de controlador si La acción tiene su propio atributo Auth. Ver código aquí:

https://gist.github.com/948822

Answer 4

¿Qué hay de [AllowAnonymous] ??

Answer 5

Utilice un filtro personalizado como se describe en Securing your ASP.NET MVC 3 Application.

Answer 6

MVC4 tiene un nuevo atributo significa exactamente para este [AllowAnonymous] (como ha señalado Enrico)

[AllowAnonymous] 
public ActionResult Register() 

leer todos los detalles aquí:

http://blogs.msdn.com/b/rickandy/archive/2012/03/23/securing-your-asp-net-mvc-4-app-and-the-new-allowanonymous-attribute.aspx

Answer 7

Marque el controlador con [Autorizar]

[Autorizar] clase pública YourController: ApiController

acciones marca que desee público:

[AllowAnonymous]