MVC5 身份验证：授权每个控制器或基本控制器上的属性

Question

我一直在对保护我的 MVC 5 应用程序的最佳方法进行大量研究。

我们有一个包含许多 WebAPI 控制器的 Web.csproj 以及一个包含两个区域的 MVC 站点 - 一个用于管理员，然后是面向公众的网站。

阅读this article which states that the Base Controller is best way后，我决定采用这种方法。

但是，我个人不同意使用基本控制器（出于我的某些原因，see this stackoverflow answer）。

那么，鉴于我使用的是 MVC 5（ASP.Net 身份和 OWIN 身份验证） - 任何人都可以阐明每种方法的优缺点吗？

Answer 1

MVC 5 中的当前做法是将AuthorizeAttribute 应用为全局过滤器，并使用AllowAnonymousAttribute 打开单个操作/控制器

所以在 App_Start\FilterConfig.cs 中添加以下行：

    public static void RegisterGlobalFilters(GlobalFilterCollection filters)
    {
        ... existing filters

        // use the [AllowAnonymous] attribute to open up individual Actions/Controllers
        filters.Add(new System.Web.Mvc.AuthorizeAttribute());
        filters.Add(new RequireHttpsAttribute());
    }

注意： 为了更好地衡量，我还添加了 RequireHttpsAttribute，因为使用 ASP.Net Identity 的每个经过身份验证的请求都带有身份验证 cookie，这很容易受到中间人的攻击如果通过常规 HTTP 进行攻击。

Answer 2

我总是会使用基本控制器，不仅仅是身份验证和授权...

为了回答您的问题，我们最终做的是使用所有都继承自 AuthorizeAttribute 的复杂规则滚动我们自己的自定义授权属性。它非常简单，您只需从给定属性继承，然后覆盖 OnAuthorization 和 AuthorizeCore 方法。

通常，基于我们的 baseController 类，我们所有的控制器都不允许匿名访问。从那里开始，它变得根据需要变得复杂。但是为这样的事情使用基类并在此基础上进行构建总是有意义的。如果您需要快速进行非常广泛的系统更改，您可以将其接入基类，仅此而已。