DnnModuleAuthorize 属性在 Web API 中始终返回未经授权

Question

我正在尝试在自定义模块的 Web API 方法中使用此属性：

[DnnModuleAuthorize(AccessLevel = DotNetNuke.Security.SecurityAccessLevel.Edit)]

但无论我设置什么 SecurityAccessLevel，我总是收到 401 未经授权的响应。

我能够通过添加使代码工作：

[AllowAnonymous]

关于方法，并添加：

if (!ModulePermissionController.CanEditModuleContent(this.ActiveModule))
                return Request.CreateErrorResponse(HttpStatusCode.Unauthorized, "You do not have permission to access this content.");

到我的方法的开头，但这似乎是一种我真的不需要的解决方法，因为它正是该属性的用途。我正在运行 DNN 7.2.1。

有人知道我的属性哪里出错了吗？

Answer 1

您是否将SupportedModules 属性应用于您的控制器（或操作方法）？如果是这样，我猜您传入的名称与 DNN 中的真实名称不匹配（您应该传入桌面模块名称）。尝试删除该属性，看看是否有帮助。

设置ActiveModule 和当前用户（从而使您在操作方法中进行检查）的同一进程应该负责实现DnnModuleAuthorize 属性的检查。所以，这绝对是令人困惑的。也许情况发生了变化，如果您只在标头中传递 ModuleId 而不是 TabId，那么它会设置 ActiveModule，但不会进行身份验证？

您是否查看过 Fiddler 中的流量并确保正确发送了 ModuleId 和 TabId 标头？以超级用户（即主机级用户）身份登录是否会影响任何身份验证检查（如果是，可能是 URL 构造不正确，并且 DNN 识别了错误的门户）？

Answer 2

原来它实际上与防伪令牌有关。我正在使用 Angular，所以我在 Angular 服务中手动设置标题，而不是使用内置的 ServicesFramework setModuleHeaders 方法，并且只设置 TabId 和 ModuleId。我不认为 [AllowAnonymous] 属性会覆盖防伪功能，但看起来确实如此（很高兴知道）。

为那些做同样事情的人提供完整的解决方案：

var baseUrl = sf.getServiceRoot('[yourmodulename]') + '[controller]';
    var config = {
        headers: {
            'ModuleId': sf.getModuleId(),
            'TabId': sf.getTabId(),
            'RequestVerificationToken': sf.getAntiForgeryValue()
        }
    };

Answer 3

当您初始化 ServicesFramework 时，请确保在 document.ready 函数中进行。

    var self = {};
    jQuery(document).ready(function ($) {
        self.sf = $.ServicesFramework(<%=ModuleID %>);
    });

更多信息：www.dnnsoftware.com/forums/threadid/507753/scope/posts/services-framework-problems