Wie kann ich statische Dateien mit ASP.NET-Formularauthentifizierung in IIS 7.5 schützen?

Habe ich eine website läuft auf einem server mit IIS 7.5 ASP.NET 4.0 auf einem shared host, aber in vollem Vertrauen.

Die Website ist eine grundlegende "Datei-browser", das dem Besucher zur Anmeldung und eine Liste von Dateien zur Verfügung, um Ihnen angezeigt, und, natürlich, laden Sie die Dateien. Die statischen Dateien (meist pdf-Dateien) befinden sich in einem sub-Ordner auf der site genannten Daten, z.B. http://example.com/data/...

Der Website verwendet ASP.NET Formular-Authentifizierung.

Meine Frage ist: Wie bekomme ich die ASP.NET -engine zur Verarbeitung der Anforderungen für die statischen Dateien in den data-Ordner, so dass die Anforderung für Dateien sind authentifiziert ASP.NET und die Benutzer sind nicht in der Lage, deep-link auf eine Datei, und Dateien packen, die Sie nicht haben dürfen?

Beste Grüße, Egil.

InformationsquelleAutor der Frage Egil Hansen | 2010-05-25

  1. 40

    Wenn Sie Anwendungspool ausgeführt wird, in Integrierten Modus ist, dann können Sie das folgende tun.

    Fügen Sie den folgenden, um Ihre top-level-web.config.

      <system.webServer>
    <modules>
      <add  name="FormsAuthenticationModule"  type="System.Web.Security.FormsAuthenticationModule" />
      <remove  name="UrlAuthorization" />
      <add  name="UrlAuthorization" type="System.Web.Security.UrlAuthorizationModule"  />
      <remove  name="DefaultAuthentication" />
      <add  name="DefaultAuthentication"  type="System.Web.Security.DefaultAuthenticationModule" />
    </modules>
  </system.webServer>

    Nun können Sie das standard-ASP.NET Berechtigungen in Ihrem web.config erzwingen die Formularauthentifizierung für alle Dateien in dem Verzeichnis.

    <system.web>
    <authorization>
        <deny users="?" />
    </authorization>
    <authentication mode="Forms" />
</system.web>

    InformationsquelleAutor der Antwort Joel Cunningham

  2. 12

    Ich hatte das gleiche problem mit dem bekommen von Rollen zu authentifizieren. Durch Versuch und Irrtum habe ich es endlich auf Arbeit mit einem kleinen edit zu @Joel Cunningham-code:

    <modules runAllManagedModulesForAllRequests="true" >

    Verwendet habe ich diese beiden Seiten als Referenzen: http://forums.iis.net/t/1177964.aspx und http://learn.iis.net/page.aspx/244/how-to-take-advantage-of-the-iis-integrated-pipeline/

    InformationsquelleAutor der Antwort Danielle

  3. 9

    Dies ist ein Alter thread, aber ich zufällig auf Sie und lief in das gleiche problem wie Egil. Hier ist die version von Joel ist fix, die enthält Rollen:

    <modules runAllManagedModulesForAllRequests="false">
      <remove name="FormsAuthenticationModule" />
      <add name="FormsAuthenticationModule" type="System.Web.Security.FormsAuthenticationModule" />
      <remove name="UrlAuthorization" />
      <add name="UrlAuthorization" type="System.Web.Security.UrlAuthorizationModule"  />
      <remove name="RoleManager" />
      <add name="RoleManager" type="System.Web.Security.RoleManagerModule" />
      <remove name="DefaultAuthentication" />
      <add name="DefaultAuthentication" type="System.Web.Security.DefaultAuthenticationModule" />
</modules>

    InformationsquelleAutor der Antwort John

  4. 7

    Ich wollte wissen, warum es notwendig wäre, um re-add Module (mit default-Optionen), die Hinzugefügt werden, wird standardmäßig die Integrierte Pipeline, also grub ich ein wenig tiefer.

    Müssen Sie entfernen und erneut hinzufügen, die Module, da standardmäßig die Module sind nicht mit den Standard-Optionen. Sie haben die Voraussetzung Hinzugefügt, um die Abwärtskompatibilität zu laufen, nur für die Inhalte behandelt, die durch eine eingetragene ASP.NET handler (z.B., .aspx-Seiten).

    Die Standardeinstellung sieht wie folgt aus:

    <add name="FormsAuthentication" type="System.Web.Security.FormsAuthenticationModule" 
         preCondition="managedHandler" />

    Durch das entfernen der Module und re-adding Sie ohne Voraussetzung, die einzelnen Module laufen für jeden Antrag (einschließlich Ihrer statischen Inhalte). Es ist differenzierter als die Aktivierung runAllManagedModulesForAllRequests.

    Lesen Sie über es in ein paar Artikel aus, wenn die Integrierte Pipeline eingeführt wurde, mit IIS 7:

    Beachten Sie, dass es ein Tippfehler ist, oder den Namen des Moduls in dem zweiten Artikel (und @John ' s Antwort) wurde aus FormsAuthenticationModule zu FormsAuthentication irgendwann.

    Den Arbeits Modulen in IIS 7.5 thru 8.5 sieht so aus für mich:

    <system.webServer>
  <modules>
    <!-- Re-add auth modules (in their original order) to run for all static and dynamic requests -->
    <remove name="FormsAuthentication" />
    <add name="FormsAuthentication" type="System.Web.Security.FormsAuthenticationModule" />
    <remove name="DefaultAuthentication" />
    <add name="DefaultAuthentication" type="System.Web.Security.DefaultAuthenticationModule" />
    <remove name="RoleManager" />
    <add name="RoleManager" type="System.Web.Security.RoleManagerModule" />
    <remove name="UrlAuthorization" />
    <add name="UrlAuthorization" type="System.Web.Security.UrlAuthorizationModule" />
  </modules>
</system.webServer>

    InformationsquelleAutor der Antwort nekno

  5. 5

    Nachtrag:

    Als @eych darauf hingewiesen, diesen auch blockiert den Zugriff auf das ~/Content - Ordner (oder wo auch immer Sie haben Ihre CSS), und ~/Scriptsund so weiter.

    Wenn Sie möchten Ausnahmen zulassen, D. H. es zulassen, daß bestimmte Dateien/Ordner Zugriff haben, die nicht authentifizierte Benutzer -- Sie können tun, dass durch die location element. Fügen Sie die folgenden web.config:

      <location path="Content">
    <system.web>
      <authorization>
        <allow users="*" />
      </authorization>
    </system.web>
  </location>

    Update:
    Eine bessere Lösung ist, um zu verlassen, der Zugriff standardmäßig auf -- was wird der Zugriff auf Ihre CSS /JavaScript /etc. -- und wenden Sie die "lock" (nur), um den Ordner, in dem die statischen Inhalte gespeichert:

    <location path="data">
  <system.web>
    <authorization>
      <deny users="?"/>
    </authorization>
  </system.web>
</location>

    Einschränkung: in unserem Fall (ein MVC-Website) mussten wir dekorieren alle unsere controller-Aktionen (außer login) mit [AuthorizeAttribute]. Das ist eine gute Idee auf jeden Fall, aber hatte bisher nicht nötig war (weil vorher alle nicht autorisierte Anfrage wurde weitergeleitet auf die login-Seite).

    InformationsquelleAutor der Antwort David

  6. 1

    Wenn Sie die Anwendung pool ist im Klassischen Modus ausgeführt wird, können Sie das folgende tun. Sie müssen wiederholen Sie diese Schritte für jede Datei-Endung die Sie verarbeiten möchten, aber ich bin mit .html hier.

    Fügen Sie zuerst eine Seite erstellen Anbieter im Web.config:

    <?xml version="1.0" encoding="UTF-8"?>
<configuration>
  <system.web> 
    <compilation>
      <buildProviders>
        <add type="System.Web.Compilation.PageBuildProvider" extension=".html"/>
      </buildProviders>
    </compilation>
  </system.web> 
</configuration>

    Dann eine Seite hinzufügen handler factory:

    <?xml version="1.0" encoding="UTF-8"?>
<configuration>
  <system.web> 
    <httpHandlers>
      <add type="System.Web.UI.PageHandlerFactory" path="*.html" verb="*"/>
    </httpHandlers>
  </system.web> 
</configuration>

    Dann eine Seite hinzufügen handler:

    <?xml version="1.0" encoding="UTF-8"?>
<configuration> 
  <system.webServer>
    <handlers>
      <add scriptProcessor="C:\Windows\Microsoft.NET\Framework\v4.0.30319\aspnet_isapi.dll" requireAccess="Script" preCondition="classicMode,runtimeVersionv2.0,bitness32" path="*.html" verb="GET,HEAD,POST,DEBUG" modules="IsapiModule" name="HtmlHandler-Classic-32" />
      <add scriptProcessor="C:\Windows\Microsoft.NET\Framework64\v4.0.30319\aspnet_isapi.dll" requireAccess="Script" preCondition="classicMode,runtimeVersionv2.0,bitness64" path="*.html" verb="GET,HEAD,POST,DEBUG" name="HtmlHandler-Classic-64"/>
    </handlers>
  </system.webServer>
</configuration>

    Dieser arbeitete für mich. (Credit: http://www.ifinity.com.au/Blog/EntryId/66/How-To-301-Redirect-htm-or-html-pages-to-DotNetNuke-aspx-pages.)

    InformationsquelleAutor der Antwort Jay Sullivan

Schreibe einen Kommentar