那些遇到过的问题

当用户不在授权角色中时,如何提供未授权页面?

Rob*_*vey 41 c# security asp.net-mvc roles

我正在使用这样的Authorize属性:

[Authorize (Roles="Admin, User")]
Public ActionResult Index(int id)
{
    // blah
}
Run Code Online (Sandbox Code Playgroud)

当用户不在指定的角色时,我会收到一个错误页面(找不到资源).所以我也将HandleError属性放入其中.

[Authorize (Roles="Admin, User"), HandleError]
Public ActionResult Index(int id)
{
    // blah
}
Run Code Online (Sandbox Code Playgroud)

现在,如果用户不在指定的角色,它将进入" 登录"页面.

当用户不符合所需角色之一时,如何让它转到未授权页面而不是登录页面?如果发生不同的错误,我如何将该错误与未授权错误区分开来并以不同方式处理?

Run*_*une 27

将这样的内容添加到web.config中:

<customErrors mode="On" defaultRedirect="~/Login">
     <error statusCode="401" redirect="~/Unauthorized" />
     <error statusCode="404" redirect="~/PageNotFound" />
</customErrors>
Run Code Online (Sandbox Code Playgroud)

您显然应该创建/PageNotFound/Unauthorized路由,操作和视图.

编辑:对不起,我显然没有彻底理解这个问题.

问题是,当AuthorizeAttribute执行过滤器时,它会确定用户不符合要求(他/她可能已登录,但角色不正确).因此,它将响应状态代码设置为401.这将由FormsAuthentication模块拦截,然后模块将执行重定向.

我看到两种选择:

  1. 禁用defaultRedirect.

  2. 创建自己的IAuthorizationFilter.派生AuthorizeAttribute并覆盖HandleUnauthorizedRequest.在此方法中,如果用户通过身份验证,请重定向到/ Unauthorized

我也不喜欢:defaultRedirect功能很好,而不是你想要自己实现的东西.第二种方法导致向用户提供视觉上正确的"您未经授权"页面,但HTTP状态代码将不是所需的401.

我不太了解HttpModules是否可以通过一个可容忍的黑客来规避这个问题.

编辑2:如何以下列方式实现自己的IAuthorizationFilter:从CodePlex下载MVC2代码并"借用"AuthorizeAttribute的代码.将OnAuthorization方法更改为

    public virtual void OnAuthorization(AuthorizationContext filterContext)
    {
        if (AuthorizeCore(filterContext.HttpContext))
        { 
            HttpCachePolicyBase cachePolicy = filterContext.HttpContext.Response.Cache;
            cachePolicy.SetProxyMaxAge(new TimeSpan(0));
            cachePolicy.AddValidationCallback(CacheValidateHandler, null /* data */);
        }
        // Is user logged in?
        else if(filterContext.HttpContext.User.Identity.IsAuthenticated)
        {
            // Redirect to custom Unauthorized page
            filterContext.Result = new RedirectResult(unauthorizedUrl);
        } 
        else {
            // Handle in the usual way
            HandleUnauthorizedRequest(filterContext);
        }
    }
Run Code Online (Sandbox Code Playgroud)

where unauthorizedUrl是过滤器上的属性或从Web.config读取.

您也可以从AuthorizeAttribute继承并覆盖OnAuthorization,但最终您将编写一些已在AuthorizeAttribute中的私有方法.

Pbi*_*off 7

你可以用两种方式做到这一点:

  1. 指定HandleError属性的错误,并给出应显示的视图:

    [HandleError(ExceptionType = typeof(UnAuthorizedException),View ="UnauthorizedError")]

您可以指定几个不同的ExceptionTypes和视图

  1. 创建自定义ActionFilter,检查凭据,并在用户未经授权的情况下重定向到控制器:http://web.archive.org/web/20090322055514/http://msdn.microsoft.com/en-us/库/ dd381609.aspx

归档时间:

查看次数:

26304 次

最近记录:

8 年,1 月 前
相关归档
C#Object Pooling Pattern实现 160
方法重载与C#4.0中的可选参数 114
是否可以覆盖非虚方法? 83
什么是MVC 6中@ Scripts.Render的替代品 22
在页面上找到了"System.Web.Mvc.Html.MvcForm" 10
DotNetNuke漏洞 8
调用RedirectToAction时,Response.Cookies会重置 8
返回一个字符串列表作为JSONResult 7
如何使用每个用户数据库安全模型在couchapp中创建用户数据库?(按文件读取访问权限) 6
SQL注入,为什么要写0或1=1 1
难疑归档
JavaScript中使用"严格"做什么,背后的原因是什么? 7339
如何确定数组是否包含Java中的特定值? 2194
如何在不安装Ms Office的情况下在C#中创建Excel(.XLS和.XLSX)文件? 1804
如何删除GitHub上的提交? 1619
我怎样才能找到带有Mathematica的Waldo? 1538
尝试抓住加速我的代码? 1463
如何删除重复的行? 1254
如何在PHP中使用bcrypt进行散列密码? 1230
Subversion存储库中"分支","标记"和"主干"的含义是什么? 1181
获取插入行的标识的最佳方法是什么? 1056