Umleiten von Unbefugter Seite Zugang in MVC zu Benutzerdefinierte Ansicht

Habe ich ein MVC-website, in denen dieser Zugang basiert auf verschiedenen Rollen. Sobald sich ein Benutzer am system anmeldet, können Sie unter navigation auf den Seiten, für die Sie autorisiert sind. Allerdings, einige Benutzer möglicherweise weiterhin versuchen, den Zugriff auf Seiten, die über eine direkte URL. Wenn Sie das tun, wird das system automatisch und leitet Sie auf die Login-Seite. Statt der Login-Seite möchte ich leiten Sie Sie zu einer anderen Ansicht (nicht autorisiert).

Web.Config noch folgender Eintrag:

    <customErrors mode="On">
      <error statusCode="401" redirect="~/Home/Unauthorized" />
      <error statusCode="404" redirect="~/Home/PageNotFound" />
    </customErrors>
    <authentication mode="Forms">
<forms name="Development" loginUrl="~/Account/Login" cookieless="UseCookies" timeout="120"></forms>
    </authentication>

Ich habe mich registriert, diese Routen in der Globalen.asax.cs als gut.

routes.MapRoute(
    name: "Unauthorized",
    url: "{controller}/{action}/{id}",
    defaults: new { controller = "Home", action = "Unauthorized", id = UrlParameter.Optional }
   );


routes.MapRoute(
    name: "PageNotFound",
    url: "{controller}/{action}/{id}",
    defaults: new { controller = "Home", action = "PageNotFound", id = UrlParameter.Optional }
    );

Wird es genug sein?

InformationsquelleAutor user2739418 | 2014-02-27
  1. 25

    Nach einigen Recherchen denke ich die einfachste Antwort auf dieses problem ist nur das erstellen von benutzerdefinierten genehmigen, die sehr ähnlich zu der von jbbi (aber das hat nicht funktioniert, da der "neue HttpUnauthorizedResult()" wird intern automatisch umleiten auf die login - mindestens in mvc 5 mit Identität)

    public class CustomAuthorize : AuthorizeAttribute
{
    protected override void HandleUnauthorizedRequest(AuthorizationContext filterContext)
    {
        if (!filterContext.HttpContext.User.Identity.IsAuthenticated)
        {
            //if not logged, it will work as normal Authorize and redirect to the Login
            base.HandleUnauthorizedRequest(filterContext);

        }
        else
        {
            //logged and wihout the role to access it - redirect to the custom controller action
            filterContext.Result = new RedirectToRouteResult(new RouteValueDictionary(new { controller = "Error", action = "AccessDenied" }));
        }
    }
}

    und die Benutzung ist die gleiche wie die Standard-Autorisierung:

    [CustomAuthorize(Roles = "Administrator")]

    Dann nur die Dinge richtig zu tun, vergessen Sie nicht, senden der Http-code der error-Seite. f.e. wie dieser in die controller.

    public ActionResult AccessDenied()
{
    Response.StatusCode = 403;
    return View();
}

    Es ist einfach, es funktioniert und sogar ich (.net mvc rookie) verstehen.

    Hinweis: Es funktioniert nicht, das gleiche mit dem 401 - code-es wird immer über die 401 und intern umleiten auf die login -. Aber in meinem Fall ist, per definition, der 403 auch passend.

    • Ich habe vergessen, wie ich dies getan habe, die Zeit. Oben gut Aussehen. Ich werde versuchen, es zu implementieren, und sehen, ob es funktioniert, wie beabsichtigt.
    • Stellen Sie sicher, dass Sie mit System.Web.Mvc-namespace und nicht das System.Web.Http. beide haben HandleUnauthorizedRequest Methode
    InformationsquelleAutor The Vojtisek
  2. 16

    Mit folgender änderung funktioniert es

    public class CustomAuthorize : AuthorizeAttribute
{
    protected override void HandleUnauthorizedRequest(AuthorizationContext filterContext)
    {
        //filterContext.Result = new HttpUnauthorizedResult(); //Try this but i'm not sure
          filterContext.Result = new RedirectResult("~/Home/Unauthorized");
    }

    public override void OnAuthorization(AuthorizationContext filterContext)
    {
        if (this.AuthorizeCore(filterContext.HttpContext))
        {
            base.OnAuthorization(filterContext);
        }
        else
        {
            this.HandleUnauthorizedRequest(filterContext);
        }
    }

}

    Und dann die Anwendung auf dem Controller oder die Aktion wie folgt:

    [CustomAuthorize(Roles = "Admin")]

    Mit den oben Ansatz, den ich brauche, zu überdenken, alle controller/Aktionen und ändern Sie den Autorisierten Attribut! Auch einige Tests erforderlich sein.

    Ich bin noch nicht sicher, warum Web.Config-route funktioniert nicht so, wie dieselben bereits in MVC-Dokumentation. Vielleicht hat sich etwas verändert in MVC 4!

    InformationsquelleAutor user2739418
  3. 4

    Wahrscheinlich beste Weg das zu handhaben, ist eine zusätzliche Aktion, filter, leitet den Benutzer auf die angegebene Fehlerseite, wenn er gehört nicht zu der angegebenen Rolle.
    Also, diese Methoden haben beide Filter angewendet: [Autorisieren] (ohne Rollen) zum Schutz von nicht authentifizierten Benutzern und dass Sie diese auf der Login-Seite. Und Ihr benutzerdefiniertes Attribut mit den Rollen. Code wie dieser hier (nicht getestet):

    public class RoleFilterAttribute : ActionFilterAttribute
{
    public string Role { get; set; }
    public override void OnActionExecuting(ActionExecutingContext ctx)
    {
        //Assume that we have user identity because Authorize is also
        //applied
        var user = ctx.HttpContext.User;
        if (!user.IsInRole(Role))
        {
            ctx.Result = new RedirectResult("url_needed_here");
        }
    }
}

    Gelten sowohl [Autorisieren] und [RoleFilter], um die Aktionen...

    Hoffe, das hilft!

    • Die Eigenschaft "öffentliche Rolle string { get; set; }" wie Sie wissen, dass Benutzer gehören zu bestimmten Rolle(N)? Werde es aber versuchen!
    • Hallo, die Eigenschaft ist für die Lagerung der Rolle aus, die Sie überprüfen möchten. Also, wenn Sie schützen möchten, eine Methode, die nur für "Manager", die Sie nutzen könnten: [RoleFilter(Role="Manager")], die sich an der Aktion. Dieses Beispiel prüft nur auf eine Rolle, aber die Verlängerung, um zu prüfen, für N Rollen (ich. e. die durch Kommas getrennt ist trivial). Die Methode, die wirklich führt die überprüfung ist von "IsInRole".
    InformationsquelleAutor eiximenis
  4. 2

    Denke ich, sollten Sie erstellen Sie Ihre eigenen Autorisieren filter-Attribut, die Erben des Standard-Autorisieren filter

    public class CustomAuthorize: AuthorizeAttribute
{
    protected override void HandleUnauthorizedRequest(AuthorizationContext filterContext)
    {
       filterContext.Result = new HttpUnauthorizedResult(); //Try this but i'm not sure
    }
}
    • Wie andere Ansatz nicht funktioniert, wähle ich diesen Weg. Danke! Ich werde noch versuchen herauszufinden, warum web.config hat nicht geklappt. Wird keinen Beitrag finden Sie hier.! Prost!
    • Hast du das Problem beheben?
    InformationsquelleAutor binard
Schreibe einen Kommentar