web.config-Autorisierung verhindern, dass unberechtigte
Ich entwickle eine .NET für ASP.NET Web-Anwendung und versuche zu leugnen, alle Benutzer, die den unbefugten Zugriff auf meine Anwendung, aber da Sie nur auf die login-Seite.
Unten ist ein Ausschnitt des Codes, die in meinem system.web Abschnitt:
<authentication mode="Forms">
<forms loginUrl="Login.aspx" timeout="60" name="APPNAME" slidingExpiration="true" />
</authentication>
<authorization>
<deny users="?" />
</authorization>
Ich habe auch dieses außerhalb zu erlauben, Zugriff auf die login-Seite:
<location path="Login.aspx">
<system.web>
<authorization>
<allow users="*"/>
</authorization>
</system.web>
</location>
Jedoch bin ich noch in der Lage, auf Seiten zugreifen, wenn ich nicht angemeldet, wie könnte ich dies verhindern?
Habe ich auch noch ein Web.Config-Datei in den Hauptordner-speichert die meisten der website-Dateien, die den Inhalt ist:
<?xml version="1.0"?>
<configuration>
<appSettings/>
<connectionStrings/>
<system.web>
<authorization>
<deny users="?" />
</authorization>
</system.web>
</configuration>
Aber das ist noch nicht mit einer Wirkung.
Lösung
Ich folgte ihm einige Tipps für die Optimierung asp.net (http://www.codeproject.com/KB/aspnet/10ASPNetPerformance.aspx) und entfernt die AnonymousIdentification httpModule, die ich eigentlich brauchte.
Ich habe gerade gelöscht, mein browser-cache/cookies und versuchte es wieder und es ist immer noch erlaubt mir Zugriff auf alles, was
InformationsquelleAutor Malachi | 2010-10-06
Du musst angemeldet sein, um einen Kommentar abzugeben.
Ich denke, dass das, was Sie finden, ist, dass es weit einfacher zu handhaben ASP.NET Berechtigung, wenn Sie verschiedene web-Seiten mit unterschiedlichen beabsichtigten Rollen in verschiedenen Ordnern. Das ist keine Voraussetzung. Es ist nur einfacher zu verwalten.
Wenn Sie in VS 2010 (ich bin mir nicht sicher, diese ist in der express-edition) versuchen, mit den ASP.NET Konfigurations-tool unten an der Menü Projekt.
Fand ich, dass es einfach zu lernen, wie das web.config-Dateien gearbeitet, mit diesem tool auf den ersten, machen einige änderungen an der Sicherheit, und dann gehen und schauen, was es Tat.
Wenn Sie gerade beginnen Sie mit einem leeren ASP.NET Anwendung in VS 2010, können Sie Sie sperren alles ab, aber der login-und registrieren-Seite mit zwei änderungen:
In der root web.config
Im web.config in den Konto-Unterordner
Was Sie sehen, ist, dass der Benutzer sofort weitergeleitet auf die login-Seite, aber Sie können sich noch anmelden.
InformationsquelleAutor Chris Gomez
Versuchen Sie, LoginStatus - Steuerelement auf die Seite, um überprüfen Sie Ihre login-status.
Könnten Sie überprüft haben "Gespeicherte Passwort" - option bisher. Überprüfen Sie und leeren Sie Ihren Cache-Passwort mit control userpassword2 Befehl.
Ich reparierte es - siehe oben, was meine Lösung war
Was für ein langer Artikel. Gute Arbeit jedenfalls. 🙂
InformationsquelleAutor bla