基于角色的授权

Question

我试图以声明方式使用基于角色的授权，当未经授权的用户尝试访问页面时，它从不触发异常或向用户显示错误消息。我应该怎么做才能显示未经授权的消息？这是可能的声明方式？

使用编码不是一个很好的选择意义我有几个角色，文件夹授权几个角色，而其他文件夹授权一个角色。

谢谢

Answer 1

在您的登录页面中使用以下代码将用户重定向到未经授权的页面或默认页面。

protected void Page_Load(object sender, EventArgs e) 
    { 
     if(Page.IsPostBack) 
      return; 

     if(!Request.IsAuthenticated) 
      return; 

     if(!string.IsNullOrEmpty(Request.QueryString["ReturnUrl"]) && !UrlAuthorizationModule.CheckUrlAccessForPrincipal(Request.QueryString["ReturnUrl"], User,"GET")) 
     { 
      // In Forms Authentication, authenticated but unauthorized requests are converted into a Redirect to the Login page. 
      // Redirect these to an error page instead. 
      Response.Redirect("~/UnauthorizedAccess.aspx", false); 
     } 
     else 
     { 
      Response.Redirect(FormsAuthentication.DefaultUrl, false); 
     } 
    } 

请参阅此链接发生了什么，并更多信息的图片：

http://www.asp.net/security/tutorials/user-based-authorization-cs

Answer 2

如果授权失败，它会抛出异常。它必须通过。你使用什么进行身份验证？你禁用了匿名访问吗？

Answer 3

也许你可以使用网站地图。更多关于那些here，再加上一点关于绑定安全性的问题here。

Answer 4

它也可以使用web.config中设置各种文件夹或文件的权限。每个文件夹都可以有一个列表允许或丹尼斯像这样：

<?xml version="1.0"?> 
<configuration> 
    <system.web> 
    <authorization> 
     <allow roles="Administrators" /> 
     <allow roles="Random Role" /> 
     <deny users="*" /> 
     <deny users="?" /> 
    </authorization> 
    </system.web> 
</configuration> 

然后当有人打，要求他们无权它会重定向到登录页面授权页面。然后，您可以检查它们来自的页面的查询字符串，并可能设置特定于案例的响应，或者至少在它上面有returnURL页面时说“您无权查看此页面”。