在Mvc 5应用程序中，AuthorizeAttribute在Web Api Controller上不起作用。

WebApi和MVC过滤器不可互换。请参阅此文章，其中解释了如何创建WebApi过滤器（尽管使用了IoC容器，您可以忽略）：https://damienbod.com/2014/01/04/web-api-2-using-actionfilterattribute-overrideactionfiltersattribute-and-ioc-injection/。特别是这个开头段落：

重要提示！Web API的过滤器与MVC的过滤器不同。Web API的过滤器位于System.Web.Http.Filters命名空间中。

。

如果您遇到此问题，请确保验证Startup.Auth中是否包含app.UseOAuthBearerTokens。有时您会创建OAuthAuthorizationServerOptions，但未应用它们：
Startup.Auth.cs

// Configure the application for OAuth based flow
PublicClientId = "self";
OAuthOptions = new OAuthAuthorizationServerOptions
{
    TokenEndpointPath = new PathString("/Token"),
    Provider = new OAuthServerProvider(PublicClientId),
    AuthorizeEndpointPath = new PathString("/api/Account/ExternalLogin"),
    AccessTokenExpireTimeSpan = TimeSpan.FromDays(365),
    // In production mode set AllowInsecureHttp = false
    AllowInsecureHttp = true
};

// Enable the application to use bearer tokens to authenticate users
app.UseOAuthBearerTokens(OAuthOptions);

请检查您的Web Api路由配置类，确保它调用了SuppressDefaultHostAuthentication方法： WebApiConfig.cs

public static void Register(HttpConfiguration config)
{
    // Web API configuration and services
    // Configure Web API to use only bearer token authentication.
    config.SuppressDefaultHostAuthentication();
    config.Filters.Add(new HostAuthenticationFilter(OAuthDefaults.AuthenticationType));

    // Web API routes
    config.MapHttpAttributeRoutes();

    config.Routes.MapHttpRoute(
        name: "DefaultController",
        routeTemplate: "api/{controller}/{action}",
        defaults: new { id = RouteParameter.Optional }
    );

    // Register Additional Filters
    config.Filters.Add(new WebApiPlatformFilters());
}