ASP.NET MVC使用AllowAnonymous特性跳过授权验证

最新推荐文章于 2025-07-03 11:20:07 发布

原创最新推荐文章于 2025-07-03 11:20:07 发布 · 3w 阅读

20 ·

本内容遵循CC 4.0 BY-SA版权协议

我の原创同时被 2 个专栏收录

616 篇文章

订阅专栏

C#/.NET编程

106 篇文章

订阅专栏

本文详细介绍了在ASP.NET MVC中使用AllowAnonymous特性来跳过特定控制器或操作的授权检查的方法。通过在控制器或Action上应用此特性，可以灵活地控制哪些部分需要进行权限验证。

AllowAnonymous表示一个特性，该特性用于标记在授权期间要跳过 System.Web.Mvc.AuthorizeAttribute 的控制器和操作。

1、在Authorize过滤器类中添加如下代码

//判断是否跳过授权过滤器
if (filterContext.ActionDescriptor.IsDefined(typeof(AllowAnonymousAttribute), true)
    || filterContext.ActionDescriptor.ControllerDescriptor.IsDefined(typeof(AllowAnonymousAttribute), true))
{
    return;
}

完整代码：

using System.Web.Mvc;

namespace MvcApp.Filter
{
    /// <summary>
    /// 授权过滤器
    /// </summary>
    public class LoginAuthorizeAttribute : AuthorizeAttribute
    {
        public override void OnAuthorization(AuthorizationContext filterContext)
        {
            //判断是否跳过授权过滤器
            if (filterContext.ActionDescriptor.IsDefined(typeof(AllowAnonymousAttribute), true)
                || filterContext.ActionDescriptor.ControllerDescriptor.IsDefined(typeof(AllowAnonymousAttribute), true))
            {
                return;
            }

            //TODO：授权校验
            
        }
    }
}

2、在要跳过授权校验的控制器或Action上添加AllowAnonymous特性

[AllowAnonymous]
public class TestController : Controller
{
    public ActionResult Index()
    {
        return View();
    }

    public ActionResult Index2()
    {
        return View();
    }
}

这样上面TestController控制器下的所有Action都将跳过全局的Authorize过滤器类。

或者添加在Action上：

[AllowAnonymous]
public ActionResult Index()
{
    return View();
}

这样上面的Action将会跳过全局的Authorize过滤器类。

其它方式：

通过判断控制器名称或Action的名称来跳过Authorize过滤器类。

if (filterContext.ActionDescriptor.ControllerDescriptor.ControllerName == "控制器名称" 
    || filterContext.ActionDescriptor.ActionName == "Action名称")
{
    return;
}

例如：需要跳过TestController控制器下的所有Action。

public override void OnAuthorization(AuthorizationContext filterContext)
{

    if (filterContext.ActionDescriptor.ControllerDescriptor.ControllerName == "Test")
    {
        return;
    }

    //TODO：授权校验
            
}