我想限制对文件夹的访问,而不是页面,所以我认为最好的方法是使用 IIS 远程管理器并添加一个 .NET 授权规则条目以拒绝所有用户访问相关文件夹。
下一步是为可能处于特定角色的用户添加授权(我猜这适用于登录到 MVC 站点的用户,但我还不知道)。
在测试的第一步中,我发现 MVC 3 应用程序将访问者引导到登录页面。
我遇到的第一个挑战,仍在寻求解决。
原始子域格式:
subdomain1.site.com
锁定文件夹是“图像”,但锁定文件夹的路径:
subdomain1.site.com/content/images
当您尝试访问锁定文件夹中的图像时,您将被重定向到:
subdomain1.site.com/subdomain1/Account/LogOn...
我希望这是:
subdomain1.site.com/Account/LogOn...
我在 StackOverFlow 上发布了另一个关于URL 重写的问题……不确定正确的解决方案应该是什么,所以我将这些问题分开。
我知道您可以根据登录的用户和角色限制页面,但这仅适用于页面,而不适用于文件夹中可能存在的文件。
我对此的想法是拒绝对文件夹的所有访问,然后添加授权角色的规则。如果安全按照我认为的方式工作,那么当用户登录到 MVC 3 站点时,他们将拥有具有分配角色的凭据。
在这种能力下,只要在规则中映射了相同的角色,它就应该允许他们访问锁定文件夹中的任何受限文件。