9

我在 ASP.NET 中成功实现了基于角色的授权。当一个人没有所需的角色时,他会看到 401.2 未授权的错误页面。

我现在想要完成的是在我的应用程序中有一个自定义的 401 页面,并通过 web.config 中的设置将其重定向到那里。我试过这个:

<customErrors mode="RemoteOnly" defaultRedirect="GenericErrorPage.htm">
    <error statusCode="401" redirect="NoAccess.htm" />
</customErrors>

但这不会被抓住。我是否必须在 IIS 中覆盖它?我希望这不会使部署变得更加困难。

4

4 回答 4

8

我最近遇到了同样的问题,事实证明这是使用 Windows 身份验证时的怪癖之一。

Joshua Flanagan 不久前创建了一个不错的 HttpModule,它将尊重 web.config 中的 customErrors 部分并重定向到 401 错误页面。

解决的关键是拦截页面生命周期的EndRequest事件,检查401状态码,然后执行你的自定义页面。

HttpModule 的可移植性很好,因为它使解决方案可重用,并使您的 Global.asax 保持干净,但是如果您真的想的话,没有什么能阻止您使用他的代码在 Global.asax 中连接您的 EndRequest 事件。

如果您使用的是 ASP.NET MVC,那么解决方案就不是那么优雅了。

于 2010-02-06T01:23:57.597 回答
4

如果您不想添加 HttpModule

在 web.config 中

<system.web>
    <customErrors mode="On" defaultRedirect="~/MyController/MyErrorAction/" redirectMode="ResponseRedirect">
      <error statusCode="401" redirect="~/MyController/MyErrorAction/" />
    </customErrors>

在 global.asax.cs

    protected void Application_EndRequest(object sender, EventArgs e)
    {
        HttpApplication application = (HttpApplication)sender;

        if (application.Response.StatusCode != 401 || !application.Request.IsAuthenticated) return;

        application.Response.ClearContent();

        //You can replace the piece below is to redirect using MVC, or your can replace all this with application.Server.Execute(yourPage);
        IController errorController = new SharedController();
        var rd = new RouteData();
        rd.Values.Add("controller", "MyController");
        rd.Values.Add("action", "MyErrorAction");
        rd.Values.Add("value", "You or your user group do not have permissions to use the address: " + Request.Url.PathAndQuery);

        errorController.Execute(new RequestContext(new HttpContextWrapper(Context), rd));
        HttpContext.Current.Server.ClearError();
    }
于 2012-09-17T18:37:26.557 回答
4

这是一个 MVC 不可知的变体:

在 Web.config 中

<customErrors mode="RemoteOnly" defaultRedirect="GenericErrorPage.htm">
    <error statusCode="401" redirect="NoAccess.htm" />
</customErrors>

在 Global.asax.cs

protected void Application_EndRequest(object sender, EventArgs e)
{
    HttpApplication application = (HttpApplication)sender;

    if (application.Response.StatusCode != 401 || !application.Request.IsAuthenticated) return;

    var customErrors = (CustomErrorsSection)ConfigurationManager.GetSection("system.web/customErrors");

    var accessDeniedPath = customErrors.Errors["401"] != null ? customErrors.Errors["401"].Redirect : customErrors.DefaultRedirect;
    if (string.IsNullOrEmpty(accessDeniedPath))
        return; // Let other code handle it (probably IIS).

    application.Response.ClearContent();
    application.Server.Execute(accessDeniedPath);
    HttpContext.Current.Server.ClearError();
}
于 2013-08-29T21:11:06.620 回答
3

这对我来说效果很好。

全球.asax -

    protected void Application_EndRequest(object sender, EventArgs e)
    {
        if (Response.StatusCode == 401 && Request.IsAuthenticated)
        {
            Response.StatusCode = 303;
            Response.Clear();
            Response.Redirect("~/AccessDenied.html");
            Response.End();
        }
    }

Web.config -

  <system.web>
    <customErrors mode="On">
      <error statusCode="401" redirect="AccessDenied.html"/>
    </customErrors>
    <authentication mode="Windows"/>
  </system.web>
  <location path="AccessDenied.html">
    <system.web>
      <authorization>
        <allow roles="*"/>
      </authorization>
    </system.web>
  </location>
  <location path=".">
    <system.web>
      <authorization>
        <allow roles="YourADGroup"/>
        <deny users="*" />
      </authorization>
    </system.web>
  </location>

这也处理了 200 问题之前的双 401。还规避了讨厌的 firefox 身份验证弹出窗口。

于 2015-05-14T23:47:38.523 回答