问题标签 [authorize]

我有一个 MVC 控制器基类，我在其上应用了 Authorize 属性，因为我希望几乎所有的控制器（以及它们的动作）都被授权。

但是，我需要一个控制器和另一个未经授权的控制器的操作。我希望能够用[Authorize(false)]或其他东西来装饰它们，但这不可用。

有任何想法吗？

为了在使用控制器方法上的 [Authorize] 属性后保留发布数据，然后将用户重定向到登录页面，然后在成功验证后将用户重定向到他们打算去的地方——这将如何完成? 默认情况下不中继原始表单提交。对之前帖子的回复说：

您需要将表单值和 RedirectUrl 序列化到隐藏字段。身份验证后，反序列化隐藏字段中的数据并根据 RedirectUrl 的值进行重定向。您将需要一个自定义 Authorize 类来处理此问题。

我的问题是——有什么例子可以进一步指出我正确的方向吗？是的，我可以将 [Serialize] 标记添加到控制器类，但我不知道创建自定义 Authorize 类有什么帮助？我在网上看到很多关于创建自定义 Authorize 类的材料，但是反序列化在哪里进行呢？如果你能更深一层或两层，那将有很大帮助。我是新手。

（我会评论之前的帖子，但我是该网站的新手，没有积累足够的积分。我也会放一个指向其他帖子的链接，但它说新用户也不能显示链接！）

我在 Authorize 后面有一些操作方法，例如：

我遇到的问题是我正在通过 AJAX 发送一个请求来评论/创建

这有助于将请求识别为 AJAX。当用户未登录并点击授权墙时，它会被重定向到

这打破了 AJAX 工作流程。我需要被重定向到

有什么想法可以实现吗？有什么方法可以更好地控制请求授权时发生的事情？

我实际上使用的是 ASP.Net MVC，但我认为这也适用于 ASP.Net。

调查授权是如何工作的，我得出的结论是 ASP.Net MVC 在用户未经授权且应该授权时生成一个 HttpUnauthorizedResult 。然后 ASP.Net 从我的 Web.config 中读取：

并生成实际的 URL 和重定向结果。或者换一种说法：说 ASP.Net MVC 应用程序从不生成重定向 URL 是否正确？

我的问题是我想向重定向 URL 添加一些东西，但似乎我唯一能做的就是捕获 HttpUnauthorizedResult 并从头开始生成整个 URL 重定向。也许 ASP.Net 中有一种方法可以根据我的配置文件给我重定向，这样我就不必自己阅读配置文件了？

与 ASP.NET MVC 控制器一起使用的 [Authorize] 属性是否仅适用于已实现 MembershipProvider 的站点？

我想在我的控制器方法上使用 [Authorize(Roles="Admin")] 标签。

如果用户不是管理员，我想将此用户返回到我的登录屏幕。将用户返回到我的登录页面的默认行为是使用 Get url 将我的用户重新路由到“帐户/登录”。

问题是，我网站的子页面都是由 Ajax 调用刷新的部分视图，包括我的登录屏幕。

所以我的问题是： 是否可以更改下面的类以返回帖子重定向而不是获取重定向？

假设一个高速开发人员的任务是构建一个可供许多不同人访问的银行应用程序。每个人都希望访问他或她自己的帐户信息，但不希望其他人访问它。我想知道在 MVC 应用程序中限制访问的最佳实践，以便只有拥有信息的用户（或管理员）才能访问它。

该Authorize属性允许我们按角色进行限制。虽然这是一个起点，但似乎任何经过身份验证的用户都可以访问任何其他用户的信息。

ActionFilters 似乎提供了更精细控制的选项，并且可能用于完成任务。但是，我不清楚它们是否是推荐的方法。

欢迎任何指导或想法。

我正在使用具有两种非常不同类型的用户的 ASP.NET MVC 构建一个 Web 应用程序。我将设计一个示例并说一种类型是内容生产者（发布者），另一种是内容消费者（订阅者）。

我不打算使用内置的 ASP.NET 授权东西，因为我的用户类型的分离是二分法，你要么是发布者，要么是订阅者，而不是两者。因此，内置授权比我需要的要复杂。另外，我正计划使用 MySQL。

我正在考虑将它们与枚举字段（技术上是 int 字段）一起存储在同一个表中。然后创建一个 CustomAuthorizationAttribute，我将在其中传入该页面所需的 userType。

例如，PublishContent 页面需要 userType == UserType.Publisher，因此只有 Publishers 可以访问它。因此，创建此属性使我可以访问 HttpContextBase，其中包含标准用户字段（IPrincipal 类型）。如何将我的 UserType 字段添加到此 IPrincipal？所以，那么我的属性看起来像：

或者有人认为我的整个方法有缺陷吗？

这个问题之前可能已经被问过，但似乎我无法正确地对我的搜索进行措辞以找到答案。

通常，当您注册访问 Internet 上的论坛时，会向您发送一封授权电子邮件，您可以单击一个链接，将您带到执行授权的页面。

我想要的是向已经创建的用户（虽然没有登录）发送邮件，并让他们通过单击邮件中的链接来接受建议。链接当然指向执行数据库操作并显示某种结果的页面。

我应该采取哪些技术和/或路线来实现这一点？既然这与安全有关，我应该注意什么？

亲切的问候，卡斯帕

我对 ASP.NET MVC 缓存和授权感到困惑，急需一些澄清。

我自制的授权属性继承自AuthorizeAttribute. 它的覆盖AuthorizeCore方法每次都会运行，即使我[OutputCache]在控制器操作上设置了一个属性。我理解那部分。

现在让我费解的是：当我实际进行输出缓存并且页面从缓存中提供时，每次AuthorizeCore都会失败。原因是当请求被缓存时，httpContext.Session提供的AuthorizeCore是null!? 这是一些简化的代码：

所以 if httpContext.Sessionis null，这显然每次都失败。我需要访问会话，我还能如何检查请求是否被授权？这没有任何意义 - 如果它应该是这样，那么我将永远无法在 ASP.NET MVC 中使用缓存页面和身份验证。帮助？