在ABP Web API中，[Authorize]属性可用于设置身份验证和授权策略。有时可能会遇到控制器操作上使用[Authorize]属性但仍允许未授权用户访问的问题。在这种情况下，通常是由于[Authorize]属性的权限配置不正确。

例如，针对控制器操作需要三种权限：Permission1、Permission2和Permission3。可以使用以下方式配置权限：

在AuthorizationProvider.cs文件中：

public override void ConfigureServices(ServiceConfigurationContext context)
{
   Configure(options =>
   {
      options.AddPolicy("Permission1", policy => policy.RequirePermission("Permission1"));
      options.AddPolicy("Permission2", policy => policy.RequirePermission("Permission2"));
      options.AddPolicy("Permission3", policy => policy.RequirePermission("Permission3"));
   });
}

在控制器操作上使用[Authorize]属性，并将权限配置为[Authorize("Permission1,Permission2,Permission3")]。

如果在此设置中存在任何拼写错误或权限名称错误，则不会正确验证权限。确保在权限配置和[Authorize]属性中使用相同的权限名称。

例如，如果控制器操作上的[Authorize]属性为[Authorize("Permission1,Permisson2,Permission3")]，则此操作将允许未授权用户访问Permission2，因为名称中拼写错误。

通过正确配置权限和[Authorize]属性，可以确保只有有权限的用户才能访问控制器操作。