Benutzerdefiniertes AuthorizeAttribute mit benutzerdefinierter Authentifizierung

Ich verwende die ASP.NET MVC 4-Webanwendung als Front-End für einige WCF-Dienste. Die gesamte Benutzeranmeldung / -abmeldung und Sitzungssteuerung erfolgt auf dem Back-End. Die MVC-App sollte nur einen einzelnen Cookie mit Sitzungs-ID speichern. Mein Client erlaubt keine Formularauthentifizierung, alles muss angepasst werden.

Ich habe Folgendes in meiner web.config eingerichtet:

Ich habe auch einen globalen Filter:

welches in Global.asax

Ich habe mit [AllowAnonymous] alle Controller und Aktionen markiert, die keine Autorisierung benötigen.

Und jetzt muss ich MyAuthorizeAttribute implementieren. Ich habe einige Tutorials ausprobiert, aber keines von ihnen passt perfekt zu meinen Szenarien.

Grundsätzlich muss ich die folgenden Szenarien für jede Aktion behandeln:

1. Wenn ein gültiger Cookie vorhanden ist, sollte die aktuelle Anfrage berücksichtigt werden autorisiert (es wird keine Rolle zu überprüfen geben, nur eine Art von Benutzern).
2. Wenn es keinen Keks gibt, sollte ich überschreiben Sie den MVC-Standardhandler (der versucht, Account / Login zu laden) und umleiten Benutzer auf Home / Index Seite mit einer Nachricht, dass der Benutzer sollte sich einloggen.
3. Wenn der WCF-Methodenaufruf ausgelöst wird FaultException, wo unsere benutzerdefinierte SecurityFault sagt Diese Sitzung ist abgelaufen (SecurityFault verfügt über ein benutzerdefiniertes enum-Feld was den Grund der Ausnahme enthält), ich sollte meine Gewohnheit zerstören Sitzungscookie und leite den Benutzer erneut auf Startseite / Indexseite um Nachricht, dass der Benutzer sich anmelden sollte, weil seine letzte Sitzung stattgefunden hat abgelaufen. Bei all den anderen SecurityFaults kann ich sie durchlassen - ich habe einen globalen Fehlerhandler.

Soweit ich es verstehe, muss ich AuthorizeCore überschreiben (um zu überprüfen, ob meine Sitzung existiert und noch gültig ist) und HandleUnauthorizedRequest (um Benutzer auf Home / Index umzuleiten anstelle der Standard-Login-Seite).

Für die Umleitung habe ich versucht:

scheint das zweite Szenario zu verarbeiten (ich bin mir nicht sicher, ob es sich um einen Basisanruf handelt - ist es nötig?).

Für das erste Szenario muss ich AuthorizeCore implementieren. Ich bin mir nicht sicher, wie ich es richtig machen soll. Ich habe gesehen, dass AuthorizeAttribute Code für die Behandlung von Caching-Situationen und möglicherweise viele weitere versteckte Funktionen hat und ich möchte es nicht brechen.

Für das dritte Szenario bin ich nicht sicher, ob MyAuthorizeAttribute damit umgehen kann. Kann AuthorizeAttribute Ausnahmen abfangen, die innerhalb der Aktion auftreten, oder muss ich SecurityFault.SessionExpired Situationen in meinem globalen Fehlerhandler behandeln?