Autorisieren Sie Anfrage in ASP.NET Web API basierend auf bestimmten Benutzer

Question

Ich folgte diesem Tutorial http://www.tugberkugurlu.com/archive/api-key-authorization-through-query-string-in-asp-net-web-api-authorizationfilterattribute , um benutzerdefinierte Autorisierungsfilter zu erstellen.

I CarController mit meiner benutzerdefinierten Autorisieren Attribut haben: [ApiKeyAuth ("apikey", typeof (ApiKeyAuthorizer))]

Ich schicke zwei Parameter in der URL .. Host/Auto/4 username = xxx & Pass = xxx Es funktioniert grundsätzlich gut, aber ich möchte nur Autobesitzer Informationen über ihre Autos sehen lassen. Zum Beispiel Benutzer ABC kann nur Host/Car/5 sehen und Benutzer DEF kann Host/Car/6 und Host/Car/10 sehen Wie kann ich dieses Szenario lösen? Wie kann ich in meinem ApiKeyAuthorizer auf die ID des Fahrzeugs zugreifen, das in der Abfrage (Host/Car/ID) verwendet wird?

Grüße

Answer 1

Wenn man sich seinen Code aussehen, https://github.com/tugberkugurlu/ASPNETWebAPISamples/tree/master/TugberkUg.Web.Http/src/samples und https://github.com/tugberkugurlu/ASPNETWebAPISamples/tree/master/TugberkUg.Web.Http/src/TugberkUg.Web.Http, ich glaube, Sie werden feststellen, dass er die Daten direkt aus dem Query-String zerrt. Es sollte einfach darum gehen, diese Methode zu erweitern, um den ID-Parameter einzuziehen. Möglicherweise möchten Sie auch das RequestContentKeyValueModel für den HttpActionContext-Parameter überprüfen, der an die OnAuthorization-Methode übergeben wird. Die Dokumentation ist skizzenhaft und ich habe noch nicht damit gespielt, aber das scheint mir ein wahrscheinlicher Kandidat zu sein. Die Routendaten sind jedoch indirekt über die HttpRequestMessage über eine extension method, insbesondere:

message.GetRouteData();