问题标签 [asp.net-authorization]

我想在 web.config 中使用授权来阻止经过身份验证的用户访问 SignUp.aspx。用户不能访问它，例如他们的角色是管理员和访客。

我打算为 MVC 创建一个扩展，如下所示：

在 Razor 中，我可以这样使用它：

这将生成以下 HTML 输出：

但是想象一下，我的代码不只是创建一个div ，而是接收一个代表角色的字符串，如果登录的用户不属于指定的角色，则应该禁止该扩展中的 HTML：

如果我这样使用：

如果用户不属于指定角色，最终的 HTML 输出将是：

那可能吗？

更新： 我知道我可以生成这样的 HTML：

但这会向客户透露一些我不想透露的东西，除了使响应不必要地加重。

我正在阻止匿名访问我的 Web 应用程序使用<deny users="?"/>. 由于我希望匿名用户可以访问登录页面，因此我使用了以下规则

由于此规则阻止将 css 应用于登录页面，因此我使用了附加规则

修复了它，现在 css 应用于登录页面。但是在应用上述附加规则之前，我在浏览器中检查了页面的来源，发现存在一个条目<link href="Style.css" rel="stylesheet" type="text/css" />并单击该链接，浏览器确实将我带到了我的 css 文件并显示了所有样式。所以我想知道页面是否可以访问“Style.css”，究竟是什么阻止了浏览器将样式应用于不同的元素。

在 .NET MVC 4 的第一步中，我正在创建一个网站，并且我想实现用户身份验证/授权。

在我的实现中，我希望能够将控件链接到角色。例如，如果我的系统中有 2 个角色：管理员和用户，则在某些观点中说我有 3 个输入：

我希望管理员能够查看和编辑此视图中的所有 3 个字段，但用户应该只能看到其中的 2 个，并且能够编辑其中一个（这只是一个示例）。

所以基本上，我希望能够为控件定义权限，并且一个角色应该由一组权限组成（如果你能想到更好的方法，我很想听听）。

所以这些是我的限制，我看到很多与该主题相关的软件包（例如Fluent Security和Security Guard），但我不太确定哪个最能解决我的挑战。

是否有克服这种需求的最佳实践？

非常感谢任何帮助。

我正在尝试在使用 ASP.NET Forms 身份验证的 Web 应用程序中检索当前用户。但是，System.Security.Principal.WindowsIdentity.GetCurrent().Name返回 domain\windowsUser，而不是FormsAuthentication.RedirectFromLoginPage方法中使用的用户名。我在我的配置文件中使用表单身份验证：

我还尝试按照 Microsoft 的步骤进行操作，并使用以下代码段检索身份验证票：

但是，ident 始终为空，因为它是 WindowsIdentity 而不是 FormsIdentity。这里有什么问题？谢谢！

我正在为我的 Web 应用程序使用 ASP.NET 表单身份验证。我有一个文件夹，我想向未经身份验证的用户授予访问权限。我正在使用 IIS 7，并且应用程序池处于集成模式。作为测试，我在 ScriptsHandlers 文件夹中创建了 hello.txt。当我尝试使用 IIS 浏览它时，尽管有 location 元素，我仍被重定向到登录页面。此外，当我运行我的应用程序时，在查询存储在文件夹中的 asmx Web 服务时出现 401 Unauthorized 错误。这是我的 web.config 的片段：

我想利用 OutputCache 属性对控制器中的操作进行授权检查。基于一个相关的线程，我可以说下面的设计是有意义的，我正在寻找反馈或更正。
换句话说：
1. 客户端在具有我的自定义授权过滤器属性的控制器上调用操作
2. 过滤器对 Web API 控制器（在同一站点中）上的另一个操作进行 HTTPClient 调用
3. 此操作具有输出缓存属性以确保我不会对相同的参数重复访问检查
我遇到的问题：
1. 我对 OutputCache 的使用是否合适？我假设 5 分钟的缓存寿命。
2. 在步骤#2 中，来自我的授权过滤器的 HttpClient 调用是确保构建和使用缓存管道的唯一方法吗？

有几个相关的线程，但我找不到尝试使用此模式进行授权的线程。

我正在开发一个asp.net web 项目，并为它的安全系统使用ASP.NET 身份验证服务。
如您所知，asp.net self 为其成员资格和角色提供者创建aspnetdb。
什么都没有。 但是当我在IIS
上发布网站时，身份验证系统失败了。

我想也许 IIS 需要使用 SQLServer 而不是 SQLServerExpress
然后我将数据库放在托管空间上的 sqlserver 上，并更改了连接字符串
和任何需要的配置，但是，当我从 Visual Studio 启动它时，该网站工作正常，但它是身份验证当我在 IIS 上发布它时系统失败！

我的 asp.net 应用程序正在尝试执行另一个 exe 。这在 IIS 6 上运行良好，但在 IIS7 中无法运行。我已经让应用程序池完全控制包含 exe 的目录。它仍然给出授权错误。任何的意见都将会有帮助

当用户会话到期时，我正在尝试实施 AJAX MVC4 重定向解决方案。我正在尝试的解决方案是对该线程的第二个响应（LukLed）： ASP.NET MVC Session Expiration

该解决方案似乎在我尝试的第一个 AJAX 请求上运行良好。我尝试过的其他人；但是，在使用 302 响应代码重定向到登录页面之前，似乎没有运行任何控制器或属性服务器端代码。更具体地说，我尝试调试 Controller 的 Initialize 和 OnActionExecuting 方法以及 Attributes AuthorizeCore 覆盖，但没有一个被命中。即使我将 AuthenticationAttribute 添加为全局过滤器也是如此。

对可能发生的事情有任何想法吗？我无法弄清楚立即重定向的请求和命中服务的请求之间的区别。即使我并排比较请求标头，它们看起来也一样。

我使用的项目最初是一个 aspx 项目，所以我想知道 web.config 中是否有问题。然而，我将我的设置与一个普通的 MVC4 项目进行了比较，它看起来非常相似。我确实在 web.config 中配置了成员资格、角色和站点地图提供程序。我怀疑这会导致任何问题。