我已经在我的ASP.NET MVC Web应用程序中启用了表单身份验证。我希望允许匿名用户仅访问某些特定页面,包括Register.cshtml等页面。我能够通过在根web.config中执行以下操作来允许从我的CSS文件访问:
<location path="Content/Site.css">
<system.web>
<authorization>
<allow users="*"/>
</authorization>
</system.web>
</location>
现在我想允许其他页面,如主页和注册页面的匿名访问。有没有人知道如何实现这个?
MVC通常使用[Authorize]属性来管理授权。被该属性修饰的控制器或单独的操作,需要用户被授权才能访问它们 - 其他所有操作都将对匿名用户可用。
换句话说,采用了黑名单方法,使用[Authorize]将需要授权的操作列入黑名单 - 所有未被该属性修饰的操作都可以访问。
更新:
MVC4引入了一个新的属性,即[AllowAnonymous]属性。与[Authorize]属性一起使用,现在可以采用白名单方法。通过将整个控制器使用[Authorize]属性进行修饰,可以强制要求所有操作都需要授权。然后,您可以使用[AllowAnonymous]属性,将不需要授权的特定操作列入白名单中。采用此方法,您可以确信不会意外地忘记为某个操作使用[Authorize]属性,从而使其对任何人都可用。
您的代码可能是这样的:
[Authorize]
public class UserController : Controller {
[AllowAnonymous]
public ActionResult LogIn () {
// This action can be accessed by unauthorized users
}
public ActionResult UserDetails () {
// This action can NOT be accessed by unauthorized users
}
}
在 Web.config 文件中,我有以下授权设置
<authorization>
<deny users ="?"/>
</authorization>
这会导致
[AllowAnonymous]
不能正常工作,我不得不删除Web.config的授权,并在所有控制器中添加了以下代码。
[Authorize]
在类的声明之前,才能正常工作。