ASP.NET Web API覆盖处理程序

Question

如何在Web API中禁用特定GET处理程序的授权过滤器？

在类级别上有一个自定义授权过滤器，但对于其中一种方法，我需要没有安全性。我尝试应用[AllowAnonymous]属性，但它仍然通过更高级别的过滤器运行并失败。该自定义过滤器源自AuthorizationFilterAttribute。该类还有另外两个属性：OverrideAuthentication和EnableCors。

我尝试了AllowAnonymous属性，但事实并非如此。

示例代码：

[EnableCors(origins: "*", headers: "*", methods: "*")]
[OverrideAuthentication]
[AccountAuthorization]
public class AccountsController : ApiController
{

    [Route("api/accounts/{accountNumber}/GetX")]
    [AllowAnonymous]
    [HttpGet]
    public HttpResponseMessage GetX(string accountNumber)
    {
        HttpResponseMessage response = null;
        IEnumerable<string> apiKey;
        if (!Request.Headers.TryGetValues("X-ApiKey", out apiKey) || apiKey.Count() != 1 || apiKey.First() != API_KEY)
        {
            throw new HttpResponseException(HttpStatusCode.Forbidden);
        }

        // Process
        // ..
        // ..

        return response;
    }
}

编辑：链接的答案并未解释解决方案的原因。

Answer 1

最后想出来。

因为类/控制器级别上已经存在自定义授权过滤器，因此，要覆盖特定的操作处理程序（方法）并使其在没有任何授权过滤器的情况下工作，我们需要覆盖控制器上的过滤器/班级。因此添加OverrideAuthorization过滤器就可以了。现在AllowAnonymous将发挥它的魔力。

[Route("api/accounts/{accountNumber}/GetX")]
[AllowAnonymous]
[OverrideAuthorization]
[HttpGet]
public HttpResponseMessage GetX(string accountNumber)
{
    // Process     
    // ..
    // ..
}