我设置了角色管理,以便只有具有“员工”角色的用户才能查看页面。但是,它允许登录的任何人查看该页面,我该如何更改它,以便只有那些登录并具有“员工”角色的用户才能查看我的页面?
<location path="About.aspx">
<system.web>
<authorization>
<deny users="?"/>
<allow roles="Employee"/>
</authorization>
</system.web>
</location>
根据MSDN:
在运行时,授权模块迭代允许和拒绝元素,从最本地的配置文件开始,直到授权模块找到适合特定用户帐户的第一个访问规则。然后,授权模块根据找到的第一个访问规则是允许规则还是拒绝规则来授予或拒绝对 URL 资源的访问权限
根据该解释,您应该允许员工(因为这将首先匹配),然后拒绝其他所有人。
<location path="About.aspx">
<system.web>
<authorization>
<allow roles="Employee"/>
<deny users="*"/>
</authorization>
</system.web>
</location>