的WebAPI BaseController - 检查用户

Question

我有以下BaseApiController：从这个

public class BaseApiController : ApiController 
{ 
    public readonly Current _current { get; private set; } 
} 

我所有的ApiControllers继承。

我需要在我的ApiControllers中的所有方法中进行验证，该验证检查userId是否通过匹配当前的HttpContext.Current.User.Identity。

[Route("{userId}/cars")] 
public HttpResponseMessage GetCars(int userId) 
{ 
    if (userId != _current.UserId) 
    { 
     return Request.CreateErrorResponse(HttpStatusCode.Forbidden,      "Unauthorized"); 
    } 
} 

反正有这样做的BaseApiController，让我能避免对所有收到的userid参数端点这样做验证？

Answer 1

您可以根据ActionFilterAttribute创建自定义验证属性以实现您所需的功能。

对于您的情况下，它可以是这样的：

public class UserAccessCheckAttribute: ActionFilterAttribute 
{ 
    public override void OnActionExecuting(HttpActionContext actionContext) 
    { 
     var controller = actionContext.ControllerContext.Controller as BaseApiController; 
     object requestUserIdObj; 

     if (controller != null && actionContext.ActionArguments.TryGetValue("userId", out requestUserIdObj)) 
     { 
      var userId = (int) requestUserIdObj; 

      if (userId != controller._current.UserId) 
      { 
       actionContext.Response = actionContext.Request.CreateErrorResponse(HttpStatusCode.Forbidden, "Unauthorized"); 
      } 
     } 
    } 
} 

之后，你可以装饰你需要与此属性进行用户ID检查或者控制器或具体行动：

[Authorize] 
[RoutePrefix("api/Account")] 
[UserAccessCheck] //check user id for all actions in controller 
public class AccountController : BaseApiController 
{ 
    //.... 
} 

public class ValuesController : BaseApiController 
{ 
    //.... 
    [UserAccessCheck] //check user id for specific action only 
    public IEnumerable<string> Get() 
    { 
     //... 
    } 
} 

后在您的操作中不需要额外的代码