问题标签 [asp.net-authorization]

是否可以限制对特定角色的特定用户控件的访问？

我有加载（也）info.ascx 的页面（default.aspx）

我想限制对 info.ascx 的访问，并在要加载他的位置显示一条消息，例如“未经授权”。

谢谢！

我想使用 WCF RIA 服务作为包括 Silverlight 和 ASP.NET MVC 在内的多个客户端的中间层。

我使用 WCF RIA Services 4.2 CTP 和 Database First 在单独的程序集中创建了一个包含域类的解决方案，我想在 Silverlight 和 MVC 客户端之间共享它。解决方案如下所示：

如果我的架构和方法有问题怎么办？是否有更好的方法来使用 Microsoft Entity Framework 为多个客户端创建公共服务？

我可以为两者创建一个通用的自定义身份验证服务吗？所有客户端都会尊重 [EnableClientAccess()] 和 [RequiresAuthorization] 装饰吗？

我正在开发一个 ASP.NET 网站。我计划使用 Forms 身份验证来保证身份验证/授权，但我在授权方面面临两个问题：

1. 我知道如何在网络配置中设置允许经过身份验证的用户访问网页（比如 myPage.aspx）。但我不知道如何定义 UserA 能够访问 myPage 以检索他的信息，而不是 UserB 的信息。我正在考虑在用户进行身份验证时生成一个令牌，因此我能够检查此令牌属于谁并验证此信息是否可供他使用。您如何看待这种方法？表单身份验证会生成这样的令牌吗？（我在我的研究中找不到任何关于它的提及）。如果没有，我是否可以调整表单身份验证机制以生成或者我需要自己编写所有内容？

2. 我想访问网络服务，这些应该只在用户登录时返回信息。出于这个原因，我想使用上面解释的相同标记。你怎么看待这件事？这是一个好方法吗？

我问这个是因为我没有设计身份验证/授权机制的经验，任何帮助/提示将不胜感激。

如何在 web.config 中指定根位置以允许未经身份验证的用户访问它？

根位置由 default.aspx 提供，但用户通常看不到 default.aspx，他们只看到http://mysite.com/.

所以我添加了

如果用户点击，哪个有效mysite.com/default.aspx，但如果用户点击mysite.com/- 他仍然被重定向到登录页面。

我已经尝试过<location path="~">（没有帮助）而且<location path="~/">，<location path="">（网站完全失败）并且无法使其工作。

有任何想法吗？

我是 MVC 的新手，我的问题是如何将我的站点根目录设置为指向特定的 Controller + Action，然后在 Web.config 文件中设置站点根目录的位置 + 路径，例如：http： //localhost:8080/能够被所有匿名和登录的人访问。

我一直在使用位置和路径，但无法弄清楚，在我的 Global.asax 中，我不确定我是否拥有 Home + Index 作为控制器 + 动作的正确根。

这是一些代码：

web.config（片段）

我不确定<location path="">该站点的根目录应该是什么。

Global.asax（片段）

Global.asax 中站点的默认路由我希望它转到Home Controller和Action Index，所以当你输入http://localhost:8080/

提前致谢。

我需要在 MVC3 Web 应用程序中为 Forms 和 Windows 身份验证实现用户权限提升，但这个问题对于 Windows 身份验证至关重要。这是为了让较高权限的用户向较低权限的用户提供帮助，例如，当文书用户正在执行任务并要求管理员用户在文书用户可以继续之前执行任务时，管理员用户应该能够提升相同的会话到他们的权限级别，执行管理任务，并恢复会话的较低权限。考虑到我们只想在文书用户的桌面上实现这一点，我看不到没有文书用户注销和管理员用户登录的方法。也许用户切换比一个全新的会话更整洁，但我非常喜欢“运行方式”

这甚至可能吗？如果可以，我该如何实现？我什至不知道从哪里开始寻找。

<allow>我很好奇你在元素中提供and<deny>元素的顺序是否重要？

在我的 Web 应用程序中，我想在控制器中的某些操作方法中添加授权，而不是在整个控制器上。我添加了以下内容

在 web.config 我添加了

但是当我使用该操作方法时，页面加载正常，这是错误的，我希望页面重定向到登录页面

有什么建议么？

I am building a RESTful API with the .net MVC Web API framework, and want to store some user information that comes in for updates/saves.

I am using an authorization attribute that authorizes based on tokens. When a valid token is seen, I want to grab that user's information from the database, and store the user object to be used inside the controller.

Is there an easy way to do this? It looks like in the regular .net MVC you would just store the user in the HttpContext. That seems to no longer exist though.

在 ASP.NET 中，FormsAuthenticationModule 拦截任何 HTTP 401，并将 HTTP 302 重定向返回到登录页面。这对 AJAX 来说很痛苦，因为您要求 json 并以 html 格式获取登录页面，但状态代码是 HTTP 200。

在 ASP.NET Web API 中避免这种拦截的方法是什么？

在 ASP.NET MVC4 中，很容易通过显式结束连接来防止这种拦截：

但在 ASP.NET Web API 中，我无法显式结束连接，因此即使我使用此代码，FormsAuthenticationModule 也会拦截响应并将重定向发送到登录页面：

在 ASP.NET Web API 中避免这种行为的方法是什么？我一直在看，我找不到这样做的方法。

问候。

PS：我不敢相信这是 2012 年，这个问题仍然存在。