12

我正在使用 asp.net 中的一个简单网站。我想限制对侧的访问,以便只允许特定 AD 组中的用户。我已经做到了,并且工作正常。但是,当不在 AD 组中的用户尝试访问该站点时,他们会收到登录提示。如何将未经授权的用户重定向到自定义页面,而不是让他们获得登录提示?

下面是我的 web.config。代码的最低部分是我尝试过但没有用的东西。

<configuration>
<system.web>
  <compilation debug="true" targetFramework="4.0" />
  <authentication mode="Windows"/>
  <authorization>
    <allow roles="DOMAIN\GROUP"/>
    <deny users="*"/>
  </authorization>
</system.web>

<location path="AccessDenied.aspx">
<system.web>
<authorization>
  <allow users="*"/>
</authorization>
</system.web>
</location>
</configuration>

我已将此添加到 Global.asax.cs:

protected void Application_EndRequest(Object sender, EventArgs e)
    {
        if (HttpContext.Current.Response.Status.StartsWith("401"))
            {
                HttpContext.Current.Response.ClearContent();
                Server.Execute("AccessDenied.aspx");
            }
}

有任何想法吗 ?

编辑: 我尝试了一些发布的解决方案,但没有奏效。 但我得到了它与这段代码一起工作:

void Application_EndRequest(object sender, System.EventArgs e)
    {
        if (((Response.StatusCode == 401)
        && (Request.IsAuthenticated == true)))
        {
            Response.ClearContent();
            Response.Redirect("~/AccessDenied.aspx");
        }
    }
}
4

4 回答 4

3

您可以使用Response.RedirectServer.Transfer

Response.Redirect("AccessDenied.aspx");

完整示例:

protected void Application_EndRequest(Object sender, EventArgs e)
{
  if (HttpContext.Current.Response.Status.StartsWith("401"))
  {
      HttpContext.Current.Response.ClearContent();
      Response.Redirect("AccessDenied.aspx");
  }
}
于 2013-09-06T08:11:51.940 回答
2

假设您要处理所有“未经授权”的错误:

<customErrors defaultRedirect="Error.aspx" mode="On">
    <error statusCode="401" redirect="Unauthorized.aspx" />
    <error statusCode="403" redirect="Forbidden.aspx" />
</customErrors>

任何 401(未经授权)请求都将转发到 Unauthorized.aspx。

于 2013-09-06T08:13:01.750 回答
1

我在这方面取得了更大的成功:

      // This is a workaround for the fact that we are not using MVC and its attributes
      // This is the situation where a user is logged in - but not authorized for this page
      void Application_EndRequest (object sender, System.EventArgs e)
      {
         if (((Response.StatusCode == 302) && (Request.IsAuthenticated == true)))
         {
            try
            {
               string sLoc = Response.Headers ["Location"];
               if (sLoc.Contains ("Login"))
               {
                  Response.ClearContent ();
                  Response.Redirect ("~/AccessDenied.aspx");
               }
            }
            catch
            {
            }
         }
      }
于 2017-03-28T22:28:10.867 回答
0 
<authorization>
 <!--<allow users="*"/>-->This here means allow everyone .
 <allow users="AD"/> -- Add this group to AD domain .  
 <deny users="?"/> --Deny unknown users(Not authenticated)
 <allow roles="Admins"/> --If you have created roles .

如果您有本地组而不是使用<allow user ="AD">,但您必须将其注册到 AD 域。 <allow roles ="AD" />仅适用于域 AD 组,不适用于本地组。

 protected void Application_EndRequest(Object sender,EventArgs e) 

  { 
     HttpContext context = HttpContext.Current;
     if (context.Response.Status.Substring(0,3).Equals("401"))
     {
        context.Response.ClearContent();
         //do redirect here 
     } 
  }
于 2013-09-06T08:30:25.667 回答