Перенаправление ASP.NET MVC на страницу запрещенного доступа с использованием настраиваемого поставщика ролей
Я создаю пользовательский поставщик ролей и устанавливаю атрибут Authorize, указывающий роль в моем контроллере, и он работает просто отлично, например так:
[Authorize(Roles="SuperAdmin")]
public class SuperAdminController : Controller
...
Но когда пользователь не имеет доступа к этому контроллеру, он перенаправляется на страницу входа. Как я могу перенаправить его на страницу "AcessDenied.aspx"?
8 ответов
[AccessDeniedAuthorize(Roles="SuperAdmin")]
public class SuperAdminController : Controller
AccessDeniedAuthorizeAttribute.cs:
public class AccessDeniedAuthorizeAttribute : AuthorizeAttribute
{
public override void OnAuthorization(AuthorizationContext filterContext)
{
base.OnAuthorization(filterContext);
if(filterContext.Result is HttpUnauthorizedResult)
{
filterContext.Result = new RedirectResult("~/AcessDenied.aspx");
}
}
}
Вот мое решение, основанное на ответе Ев-гэ-нэ. Мой правильно перенаправляет пользователя на страницу входа, если они не вошли в систему, но на страницу "Отказано в доступе", если они вошли в систему, но не авторизованы для просмотра этой страницы.
[AccessDeniedAuthorize(Roles="SuperAdmin")]
public class SuperAdminController : Controller
AccessDeniedAuthorizeAttribute.cs:
public class AccessDeniedAuthorizeAttribute : AuthorizeAttribute
{
public override void OnAuthorization(AuthorizationContext filterContext)
{
base.OnAuthorization(filterContext);
if (!filterContext.HttpContext.User.Identity.IsAuthenticated)
{
filterContext.Result = new RedirectResult("~/Account/Logon");
return;
}
if (filterContext.Result is HttpUnauthorizedResult)
{
filterContext.Result = new RedirectResult("~/Account/Denied");
}
}
}
AccountController.cs:
public ActionResult Denied()
{
return View();
}
Views / Account / Denied.cshtml: (синтаксис Razor)
@{
ViewBag.Title = "Access Denied";
}
<h2>@ViewBag.Title</h2>
Sorry, but you don't have access to that page.
Взгляните на tvanfosson на этот очень похожий вопрос: это то, что я делаю (спасибо tvanfosson), так что теперь я просто должен сказать:
[MyAuthorize(Roles="SuperAdmin",ViewName="AccessDenied")]
public class SuperAdminController : Controller
...
Если пользователь не в роли, он получит представление w, указанное в ViewName.
Небольшое улучшение ответа Мэтта, позволяющее избежать необходимости жестко кодировать страницу входа в систему и, при необходимости, устанавливать представление отказа в доступе в атрибуте:
public class AccessDeniedAuthorizeAttribute : AuthorizeAttribute
{
public string AccessDeniedViewName { get; set; }
public override void OnAuthorization(AuthorizationContext filterContext)
{
base.OnAuthorization(filterContext);
if (filterContext.HttpContext.User.Identity.IsAuthenticated &&
filterContext.Result is HttpUnauthorizedResult)
{
if (string.IsNullOrWhiteSpace(AccessDeniedViewName))
AccessDeniedViewName = "~/Account/AccessDenied";
filterContext.Result = new RedirectResult(AccessDeniedViewName);
}
}
}
Перенаправление не всегда лучшее решение
Используйте стандартный http код 403:
return new HttpStatusCodeResult(HttpStatusCode.Forbidden);
У меня была аналогичная проблема. Независимо от того, какую роль я выполнял, меня всегда перенаправляли на страницу входа в систему вместо AccessDenied. Исправить это было невероятно легко, но не во всех случаях. Оказалось, что у меня был неправильный порядок в Startup.cs этих двух строк:
app.UseAuthentication();
app.UseAuthorization();
Убедитесь, что app.UseAuthentication(); стоит ДО app.UseAuthorization();
Другими словами, спросите: "Кто ты?" сначала, а потом "Тебе здесь разрешено?", а не наоборот.
public class AccessDeniedAuthorizeAttribute : AuthorizeAttribute
{
public override void OnAuthorization(AuthorizationContext filterContext)
{
base.OnAuthorization(filterContext);
if (filterContext.Result is HttpUnauthorizedResult && WebSecurity.IsAuthenticated)
{
filterContext.Result = new RedirectResult("~/Account/AccessDenied");
}
}
}
Небольшое обновление Vic Alcazar, Добавлены детали URL запроса в редиректе, чтобы можно было регистрировать детали отказа в доступе и кто, если хочет
public class AccessDeniedAuthorizeAttribute : AuthorizeAttribute
{
public string AccessDeniedViewName { get; set; }
public override void OnAuthorization(AuthorizationContext filterContext)
{
base.OnAuthorization(filterContext);
if (filterContext.HttpContext.User.Identity.IsAuthenticated &&
filterContext.Result is HttpUnauthorizedResult)
{
if (string.IsNullOrWhiteSpace(AccessDeniedViewName))
AccessDeniedViewName = "~/Account/AccessDenied";
var requestUrl = filterContext.HttpContext.Request.Url;
filterContext.Result = new RedirectResult(String.Format("{0}?RequestUrl={1}", AccessDeniedViewName, requestUrl));
}
}
}
Я основывался на ответе Вика, чтобы у меня была отдельная страница "Отказано в доступе" для каждой области приложения. Сделал это, вернув RedirectToRouteResult вместо этого, который вместо перенаправления на URL-адрес относительно корня приложения, он перенаправляет на контроллер и область текущей области:
public class AccessDeniedAuthorizeAttribute : AuthorizeAttribute
{
public string AccessDeniedController { get; set; }
public string AccessDeniedAction { get; set; }
public override void OnAuthorization(AuthorizationContext filterContext)
{
base.OnAuthorization(filterContext);
if (filterContext.HttpContext.User.Identity.IsAuthenticated &&
filterContext.Result is HttpUnauthorizedResult)
{
if (String.IsNullOrWhiteSpace(AccessDeniedController) || String.IsNullOrWhiteSpace(AccessDeniedAction))
{
AccessDeniedController = "Home";
AccessDeniedAction = "AccessDenied";
}
filterContext.Result = new RedirectToRouteResult(new RouteValueDictionary(new { Controller = AccessDeniedController, Action = AccessDeniedAction }));
}
}
}