asp.net-mvc-5 – MVC5身份验证过滤器

我还创建了一个类似的帖子here：

虽然我得到的答案很好地澄清了一些事情,但我仍然对如何使用它有点困惑,但更多的是预期的行为(你会看到你看到我的帖子).

简而言之,新的身份验证过滤器在旧的授权过滤器之前触发.

此外,根据我的理解,身份验证将是检查用户是否在您的网站上进行身份验证的好地方.换句话说,那个用户在某个时候给了我他的凭据让我查看它们与数据库.如果答案是肯定的,那么很好……继续.

如果答案为否,则用户未经过身份验证,而我应该返回http状态代码401 Unauthorized.

至于授权,我的理解是,用户是隐式认证的,他可能会或可能不会被授权访问某个页面或资源.如果是这种情况,那么我应该返回一个http状态代码403 Forbidden.这就是[Authorize]属性发挥作用的地方.

虽然这是我所理解的,但这两个过滤器的行为并不像我认为它们会起作用.也许这是由于我缺乏理解造成的……

例如：新的身份验证筛选器似乎无法识别(或考虑)[AllowAnonymous]属性.我认为它的方式应该如此.

另一方面,旧的[Authorize]属性确实识别(并考虑)[AllowAnonymous]属性.

最后,我不确定这是否会对你有所帮助或使你更加困惑,但我仍然在与他们玩耍以完全掌握它.