2

当用户输入正确的用户名和密码时,他/她将看到MyNewPage.aspx页面。这部分工作正常。但是,当我http://localhost:49296/Pages/MyNewPage直接在浏览器窗口中键入而不登录时,我仍然能够访问此页面。我想要做的是限制用户在不登录的情况下访问此页面。

我怎样才能做到这一点?

        [HttpPost]
        public ActionResult LogOn(LogOnModel model, string returnUrl)
        {
            if (ModelState.IsValid)
            {
                if (Membership.ValidateUser(model.UserName, model.Password))
                {
                    FormsAuthentication.SetAuthCookie(model.UserName, model.RememberMe);
                    if (Url.IsLocalUrl(returnUrl) && returnUrl.Length > 1 && returnUrl.StartsWith("/")
                        && !returnUrl.StartsWith("//") && !returnUrl.StartsWith("/\\"))
                    {
                        return Redirect(returnUrl);
                    }
                    else
                    {
                        return RedirectToAction("MyNewPage", "Pages");

                    }
                }                
            }    
            return View(model);
        }
4

2 回答 2

8 

[Authorize]

在控制器/动作上

于 2013-02-12T21:15:01.023 回答
1

确保用户登录以访问视图

完成此操作的最简单方法是使用控制器操作方法上方的 Authorize 属性。例如,我们只希望用户在已经登录网站的情况下更改他们的密码。为了防止非授权用户访问更改密码视图,我们可以像这样限制访问:

[Authorize]
public ActionResult ChangePassword()
{
    ViewData["PasswordLength"] = MembershipService.MinPasswordLength;
    return View();
}

您也可以通过像这样检查 User 对象来手动完成此操作:

public ActionResult ChangePassword()

{
    if (!User.Identity.IsAuthenticated)
        return RedirectToAction("LogOn", "Account");

    ViewData["PasswordLength"] = MembershipService.MinPasswordLength;
    return View();
}


确保用户具有特定角色以获得对视图的访问权限

您可能有一些视图应该只能由特定角色的用户访问。这也可以使用 Authorize 属性来完成,如下所示:

[Authorize(Roles = "Administrator")]
public ActionResult Index()
{
    return View();
}

您也可以使用以下方法在代码中完成此操作:

public ActionResult Index()
{
    if (!User.IsInRole("Administrator"))
        return RedirectToAction("LogOn", "Account");

    return View();
}

参考:使用我们的角色和成员资格提供者

于 2013-02-13T01:52:34.637 回答