在ASP.net MVC Web API中返回False的派生ClaimsAuthorizationManager.CheckAccess

Question

消息人士说，根据框架设计，如果ClaimsAuthorizationManager的CheckAccess的子类返回false，它将抛出安全异常。

如果我想用(例如) [ClaimsPrincipalPermission(SecurityAction.Demand, Operation="Read", Resource="Something")]修饰an控制器的函数，似乎没有办法捕捉到这个错误。

我已经创建了一个样例AuthorizationManager，派生ClaimsAuthorizationManager，并在web.config中注册了它。此配置部分起作用。

public class AuthorizationManager : ClaimsAuthorizationManager
{
     public override bool CheckAccess(AuthorizationContext context)
     {
          return false; // just to show that it will throw the security exception
     }     
}

因此，我将授权设置为无论如何都会失败，但我希望向用户返回一个401响应，而不是那个“侵入性”500 (作为内部服务器错误返回的安全异常)。

似乎没有人对此有一个答案，似乎我们只是满足于500通信未经授权的访问给客户。

Answer 1

这只是一个想法，但我相信你也可以在Items容器中设置一个标志，然后在Application_EndRequest中，你可以检查这两个条件是否发生：

• 响应状态代码为500
• 标志为set

在这种情况下，您可以将状态代码更改为401。