Ari*_*ini 11 asp.net security asp.net-mvc-3
我知道我可以使用web.config中的授权标记来限制对ASP.NET MVC 3应用程序的访问
<authentication mode="Windows"></authentication>
<roleManager enabled="true" defaultProvider="AspNetWindowsTokenRoleProvider" />
<authorization>
<allow roles="MyDomain\MyGroup" />
<deny users="*" />
<deny users="?" />
</authorization>
或使用[Authorize()]属性(甚至使用自定义Authorize属性)装饰控制器基类
[AdminOnly]
public class BaseController : Controller{}
问题是:他们是替代方法和等效方法吗?我应该总是使用一种方法而不是另一种方法吗?我应该记住哪些元素?
Dar*_*rov 12
我知道我可以使用web.config中的授权标记来限制对ASP.NET MVC 3应用程序的访问
不,不要在ASP.NET MVC中使用它.
问题是:他们是替代方法和等效方法吗?
不,他们不是替代品.您不应该<authorization>在ASP.NET MVC应用程序中使用web.config中的标记,因为它基于路径,而MVC使用控制器操作和路由.在ASP.NET MVC中进行授权的正确方法是使用该[Authorize]属性.