C# 在WebApi中保护路由
我使用ASP.NETWebAPI 2作为ASP.NETMVC5应用程序的REST接口 我正在使用Forms Auth进行身份验证 我的问题是,保护在不同用户上下文中使用参数的WebApi路由的最佳方法是什么 示例:客户可以访问此示例路线来查看订单C# 在WebApi中保护路由,c#,asp.net,asp.net-mvc,asp.net-web-api,C#,Asp.net,Asp.net Mvc,Asp.net Web Api,我使用ASP.NETWebAPI 2作为ASP.NETMVC5应用程序的REST接口 我正在使用Forms Auth进行身份验证 我的问题是,保护在不同用户上下文中使用参数的WebApi路由的最佳方法是什么 示例:客户可以访问此示例路线来查看订单 http://host/api/customer/order/{orderId} 但是,当另一个无法访问该订单的客户出现并试图访问同一个端点时,该怎么办 此外,我希望服务能够由管理员使用,管理员可以访问任何订单id。首先,默认情况下,您的API应该是
http://host/api/customer/order/{orderId}
此外,我希望服务能够由管理员使用,管理员可以访问任何订单id。首先,默认情况下,您的API应该是安全的。在WebAPI配置文件中添加这一行
config.Filters.Add(new AuthorizeAttribute());
[AllowAnonymous]
[Route("register")]
public IHttpActionResult Post([FromBody] RegistrationModel model)
{
}
[Route("getProtectedThing")]
public IHttpActionResult Get()
{
var order = getOrder(orderId);
if(ClaimsPrinciple.Current.Claims.First(x => x.Type == ClaimsTypes.NameIdentifier).Value
== order.memberId ||
ClaimsPrinciple.Current.Claims.FirstOrDefault(x => x.Type == "IsAdmin").Value)
{
return Ok("data");
}
return Unauthorized();
}
[AllowAnonymous]
[Route("register")]
public IHttpActionResult Post([FromBody] RegistrationModel model)
{
}
[Route("getProtectedThing")]
public IHttpActionResult Get()
{
var order = getOrder(orderId);
if(ClaimsPrinciple.Current.Claims.First(x => x.Type == ClaimsTypes.NameIdentifier).Value
== order.memberId ||
ClaimsPrinciple.Current.Claims.FirstOrDefault(x => x.Type == "IsAdmin").Value)
{
return Ok("data");
}
return Unauthorized();
}
下面是一些关于WebApi安全性的信息。它有一些关于使用属性按角色阻止用户的内容,以及关于WebAPI中授权的其他一般信息
orderId.memberId