web.config-Autorisierung verhindern, dass unberechtigte

Ich entwickle eine .NET für ASP.NET Web-Anwendung und versuche zu leugnen, alle Benutzer, die den unbefugten Zugriff auf meine Anwendung, aber da Sie nur auf die login-Seite.

Unten ist ein Ausschnitt des Codes, die in meinem system.web Abschnitt:

<authentication mode="Forms">
   <forms loginUrl="Login.aspx" timeout="60" name="APPNAME" slidingExpiration="true" />
</authentication>
<authorization>
   <deny users="?" />
</authorization>

Ich habe auch dieses außerhalb zu erlauben, Zugriff auf die login-Seite:

  <location path="Login.aspx">
    <system.web>
      <authorization>
        <allow users="*"/>
      </authorization>
    </system.web>
  </location>

Jedoch bin ich noch in der Lage, auf Seiten zugreifen, wenn ich nicht angemeldet, wie könnte ich dies verhindern?

Habe ich auch noch ein Web.Config-Datei in den Hauptordner-speichert die meisten der website-Dateien, die den Inhalt ist:

<?xml version="1.0"?>
<configuration>
    <appSettings/>
    <connectionStrings/>
    <system.web>
        <authorization>
            <deny users="?" />
        </authorization>
    </system.web>
</configuration>

Aber das ist noch nicht mit einer Wirkung.

Lösung

Ich folgte ihm einige Tipps für die Optimierung asp.net (http://www.codeproject.com/KB/aspnet/10ASPNetPerformance.aspx) und entfernt die AnonymousIdentification httpModule, die ich eigentlich brauchte.

Sind Sie sicher, Sie sind nicht eingeloggt? Sie haben nicht nur ein auth-cookie noch vorhanden ist auf Ihrem Computer, die Erinnerung an deine letzten login?
Ich habe gerade gelöscht, mein browser-cache/cookies und versuchte es wieder und es ist immer noch erlaubt mir Zugriff auf alles, was

InformationsquelleAutor Malachi | 2010-10-06

  1. 6

    Ich denke, dass das, was Sie finden, ist, dass es weit einfacher zu handhaben ASP.NET Berechtigung, wenn Sie verschiedene web-Seiten mit unterschiedlichen beabsichtigten Rollen in verschiedenen Ordnern. Das ist keine Voraussetzung. Es ist nur einfacher zu verwalten.

    Wenn Sie in VS 2010 (ich bin mir nicht sicher, diese ist in der express-edition) versuchen, mit den ASP.NET Konfigurations-tool unten an der Menü Projekt.

    Fand ich, dass es einfach zu lernen, wie das web.config-Dateien gearbeitet, mit diesem tool auf den ersten, machen einige änderungen an der Sicherheit, und dann gehen und schauen, was es Tat.

    Wenn Sie gerade beginnen Sie mit einem leeren ASP.NET Anwendung in VS 2010, können Sie Sie sperren alles ab, aber der login-und registrieren-Seite mit zwei änderungen:

    In der root web.config

     <system.web>
    <authorization>
      <deny users="?" />
    </authorization>

    Im web.config in den Konto-Unterordner

    <?xml version="1.0"?>
<configuration>

  <location path="Register.aspx">
    <system.web>
      <authorization>
        <allow users="*"/>
      </authorization>
    </system.web>
  </location>

  <system.web>
    <authorization>
      <allow users="?" />
    </authorization>
  </system.web>

</configuration>

    Was Sie sehen, ist, dass der Benutzer sofort weitergeleitet auf die login-Seite, aber Sie können sich noch anmelden.

    InformationsquelleAutor Chris Gomez

  2. 2

    Versuchen Sie, LoginStatus - Steuerelement auf die Seite, um überprüfen Sie Ihre login-status.

    Könnten Sie überprüft haben "Gespeicherte Passwort" - option bisher. Überprüfen Sie und leeren Sie Ihren Cache-Passwort mit control userpassword2 Befehl.

    Ich habe dies nur Hinzugefügt, und es entsteht ein login-link. Also ich bin definitiv nicht eingeloggt. Ich schaue durch mein code/web.config für Probleme.
    Ich reparierte es - siehe oben, was meine Lösung war
    Was für ein langer Artikel. Gute Arbeit jedenfalls. 🙂

    InformationsquelleAutor bla

Schreibe einen Kommentar