问题标签 [authorization]

我有一个 CustomeAuthorize 操作过滤器，如果用户未通过身份验证，它会将用户转发到登录页面。我将此过滤器应用于操作或控制器。

过滤器看起来像这样：

一旦我为 filterContext.Result 分配了一个值，在过滤器执行完成后，执行（不知何故？！）重定向到 SignIn 操作并且 MyAction 不执行。这正是我想要的。

现在说我想更改我的 CustomAuthorize 以针对外部网站而不是我自己的 SignIn 操作对用户进行身份验证，所以我正在做这样的事情：

我的问题是，在执行完第二版 CustomAuthorize 过滤器后，继续执行 MyAction，这不是我想要的！在这种情况下，如何在过滤后停止执行 MyAction？

-更新-我刚遇到一个新问题。我的 MVC 应用程序位于 iFrame 中，我希望重定向在重定向后强制当前帧作为主帧，所以我正在做类似的事情：

有没有办法将 javascript 传递给 RedirectResult()？

如果用户的密码已过期，我需要将用户重定向到更改密码页面。

我想将此代码放在一个地方，以便可以将任何请求重定向到更改密码页面。

我已经研究过扩展 AuthorizeAttribute 并覆盖 OnActionExecuting，但两者都不起作用/不允许我短路路由逻辑以重定向到密码更改页面。

稍微澄清一下，逻辑是：

未经授权的请求：
-> 任何 URL -> AuthorizeAttribute -> Login.aspx -> 密码过期 -> ChangePassword.aspx

授权请求：
-> 任何 URL -> ????????? -> 更改密码.aspx

就是那个 ？？？？我不知道该怎么做的部分。

我想我将继续扩展 AuthorizeAttribute。除了密码更改控制器方法 外，我将在任何地方使用它。

我正在尝试从本地主机上的一个网站导航到本地主机上的第二个网站。

这两个网站都有自己的会员提供商。我正在尝试使用来自站点 #1 的 FormsAuthorizationTicket 将用户 SSO 到站点 #2。

目前我收到此错误： System.Security.Cryptography.CryptographicException: Padding is invalid and cannot be removed

到目前为止，我采取的步骤包括： 将元素设置为特定的密钥值 将验证和加密的 machineKey 属性设置为“3DES” 通过记录验证加密票证在 #2 网站中的值与在排名第一的网站。

我的代码在这里：

在网站 #2 中，我创建了一个登录页面来验证票证并重定向到仅限会员的页面。解密期间是我收到上面指定的错误。

这是我在网站 #2 上的着陆页代码：

如果有人有帮助的想法，我会很乐意尝试。

我需要在 VB.NET 中验证发送到我的 HttpListener 的基本授权标头。我像这样抓住标题（请随时指出更好的方法来做到这一点）：

现在我该如何解码它们？我理解这个理论，但我似乎找不到正确的代码。

谢谢你。

URL 授权仅适用于 Asp.Net 相关文件类型？1 但为什么不能也适用于非 Asp.Net 文件类型？

谢谢

除了2.0自带的（生成的aspnetdb.mdf）外，有没有标准的asp.net互联网网站登录授权认证系统？一个可以插入网站的。

如何禁止匿名访问我的 ASP.NET mvc 控制器？具体来说，我想要求对所有控制器进行身份验证访问，但允许匿名访问资源类型文件，例如 .css 和 .js 文件。不要像我使用 Microsoft Geneva 一样计划使用会员服务。

I am looking for a good role based authorization solution to use alongside Authlogic. Anyone have any good suggestions? Please list some pros and cons from your experience if possible please.

Q1 – 原生UrlAuthorizationModule 不理解角色的原因是角色信息存储在实现IPrincipal接口的托管对象中，而原生模块无法访问这些对象。

A）但是，如果本机UrlAuthorizationModule理解身份验证票证，因此可以与FormsAuthenticationModule一起使用，那么为什么它不能与 Roles 模块一起使用？

也就是说，这张票不是还包含有关用户所在角色的信息吗？如果是这样，那么UrlAuthorizationModule可以从票证中获取有关角色的所有信息，因此不需要访问IPrincipal对象？！

Q2 以下文章http://www.asp.net/learn/security/tutorial-11-vb.aspx声称：

如果匿名用户访问该站点，FormsAuthenticationModule和RoleManagerModule都不会创建主体对象。

A）如果上述声明为真，那么下面的代码不会抛出异常，因为User属性将包含一个空引用：

Label1显示“<em>User is not authenticated”，这表明User属性被分配了实现IPrincipal的对象，即使用户没有经过身份验证？！

谢谢

我有一个在控制器和操作上使用授权属性的 ASP.NET MVC 应用程序。这一直运作良好，但出现了新的皱纹。

对象：装运

角色：运输、会计、一般用户

货件通过工作流程移动。在状态 A 中，它只能由 Shipping 编辑。在状态 B 中，它只能由会计编辑。

我有一个 ShipmentController 和一个 Edit Action。我可以放置一个 Authorization 属性来将 Edit 操作限制为仅这两个角色，但这并不能区分 Shipment 处于哪个状态。我需要在服务调用之前在操作中执行一些 Authorization 以确定用户是否真正被授权执行编辑操作。

所以我有两个问题：

1）在Action中获得授权的好方法是什么。Controller Action 调用服务，然后服务对 Shipment 对象进行适当的调用（更新数量、更新日期等）。我确定我希望 Shipment 对象不受任何授权要求的影响。另一方面，如果我希望服务对象知道授权，我并没有真正的把握。有什么好的模式吗？

2）我的问题实际上是糟糕设计的症状吗？我应该有一个 StateAshipmentController 和 StateBshipmentController，而不是 ShipmentController？我没有在 Shipment 对象中内置任何多态性（状态只是一个枚举），但也许我应该并且控制器应该反映这一点。

我想我正在寻求更通用的解决方案，而不是针对我的案例的特定解决方案。我只是想提供一个例子来说明这个问题。

谢谢！