問題タブ [authorize]

ほとんどすべてのコントローラー (およびそれらのアクション) を承認する必要があるため、Authorize 属性を適用した MVC コントローラー基本クラスがあります。

ただし、コントローラーと別のコントローラーのアクションを無許可にする必要があります。か何かで飾れるようにしたかったの[Authorize(false)]ですが、これは利用できません。

何か案は？

コントローラーメソッドで [Authorize] 属性を利用した後に投稿データを保持するには、ユーザーをログインページにリダイレクトし、認証が成功すると、ユーザーを目的の場所にリダイレクトします-これはどのように行われますか? ? デフォルトでは、元のフォーム送信は中継されません。以前の投稿への応答は、次のように述べています。

フォームの値と RedirectUrl を隠しフィールドにシリアル化する必要があります。認証後、隠しフィールドのデータを逆シリアル化し、RedirectUrl の値に基づいてリダイレクトします。これを処理するには、カスタム Authorize クラスが必要です。

私の質問は - 正しい方向に私をさらに向ける例はありますか? はい、コントローラ クラスに [Serialize] タグを追加できますが、カスタムの Authorize クラスを作成する方法がわかりません。カスタム Authorize クラスの作成に関する資料をオンラインでたくさん見ますが、逆シリアル化はどこで行われますか? 1 つまたは 2 つのレベルを深くすることができれば、非常に役立ちます。私は初心者です。

（以前の投稿にコメントしますが、私はこのサイトに不慣れで、十分なポイントを蓄積していません。他の投稿へのリンクも貼りますが、新しいユーザーもリンクを表示できないと書かれています!)

次のような Authorize の背後にいくつかのアクション メソッドがあります。

私が抱えている問題は、AJAXを介してコメント/作成するリクエストを送信していることです

これは、リクエストを AJAX として識別するのに役立ちます。ユーザーがログインせずに Authorize ウォールに到達すると、次の場所にリダイレクトされます。

これにより、AJAX ワークフローが中断されます。にリダイレクトする必要があります

それを達成する方法はありますか？承認が要求されたときに何が起こるかをより詳細に制御する方法はありますか?

私は実際にASP.Net MVCを使用していますが、これはASP.Netにも当てはまると思います。

承認がどのように機能するかを調査して、ASP.Net MVC はユーザーが承認されていないときに HttpUnauthorizedResult を生成するという結論に達しました。そして、ASP.Net は私の Web.config から読み取ります:

実際の URL とリダイレクト結果を生成します。または別の言い方をすると、ASP.Net MVC アプリケーションはリダイレクト URL を生成しないというのは正しいでしょうか?

私の問題は、リダイレクト URL にいくつかのものを追加したいということですが、私ができる唯一のことは、HttpUnauthorizedResult をキャッチして、URL リダイレクト全体を最初から生成することです。おそらく、ASP.Net には、構成ファイルを自分で読み取る必要がないように、構成ファイルに基づいてリダイレクトを提供する方法がありますか?

ASP.NET MVC コントローラーで使用される [Authorize] 属性は、MembershipProvider を実装したサイトでのみ機能しますか?

コントローラー メソッドで [Authorize(Roles="Admin")] タグを使用したいと考えています。

ユーザーが管理者でない場合、このユーザーをログイン画面に戻したいと思います。ユーザーをログイン ページに戻すデフォルトの動作は、Get URL を使用してユーザーを「アカウント/ログイン」に再ルーティングすることです。

問題は、私の Web サイトのサブページが、ログイン画面を含め、すべて Ajax 呼び出しによって更新された部分的なビューであることです。

私の質問は次のとおり です。以下のクラスを変更して、get リダイレクトの代わりに post リダイレクトを返すことは可能ですか?

高速開発者が、多くの異なる人々がアクセスする銀行アプリケーションの構築を任されたとします。各人は自分のアカウント情報にアクセスしたいと思うでしょうが、他の人にはアクセスさせたくないでしょう。情報を所有するユーザー（または管理者）のみがアクセスできるように、MVCアプリケーションでアクセスを制限するためのベストプラクティスを知りたいです。

このAuthorize属性を使用すると、役割ごとに制限できます。これは出発点ですが、認証されたユーザーは他のユーザーの情報にアクセスできるようです。

ActionFiltersは、もう少しきめ細かい制御のオプションを提供しているようで、おそらくタスクを実行するために使用できます。ただし、それらが推奨されるアプローチであるかどうかはわかりません。

どんなガイダンスやアイデアでも大歓迎です。

ASP.NET MVC を使用して、2 つの非常に異なるユーザー タイプを持つ Web アプリケーションを構築しています。例を考えて、1 つのタイプがコンテンツ プロデューサー (パブリッシャー) であり、もう 1 つのタイプがコンテンツ コンシューマー (サブスクライバー) であるとします。

組み込みの ASP.NET 承認機能を使用する予定はありません。ユーザー タイプの分離は二分法であり、パブリッシャーまたはサブスクライバーのいずれかであり、両方ではないためです。そのため、ビルトイン認証は必要以上に複雑です。さらに、MySQL を使用する予定です。

enumフィールド（技術的にはintフィールド）と同じテーブルにそれらを格納することを考えていました。次に、そのページに必要な userType を渡す CustomAuthorizationAttribute を作成します。

たとえば、PublishContent ページには userType == UserType.Publisher が必要なため、発行者のみがアクセスできます。したがって、この属性を作成すると、(IPrincipal 型の) 標準の User フィールドを含む HttpContextBase にアクセスできるようになります。UserType フィールドをこの IPrincipal に取得するにはどうすればよいですか? したがって、私の属性は次のようになります。

それとも、私のアプローチ全体に欠陥があると思う人はいますか?

この質問はおそらく以前に尋ねられたことがありますが、答えを見つけるのに十分な検索を正しく表現できないようです.

通常、インターネット上のフォーラムにアクセスするためにサインアップすると、認証メールが送信されます。リンクをクリックすると、認証を実行するページに移動できます。

私が望むのは、既に作成されたユーザー (ログインしていません) にメールを送信し、メール内のリンクをクリックして提案を受け入れさせることです。もちろん、リンクはデータベース操作を実行し、何らかの結果を表示するページを指しています。

これを実装するには、どの手法やルートを使用する必要がありますか? これはセキュリティ関連なので、何に注意すればよいですか?

敬具、キャスパー

ASP.NET MVC のキャッシュと承認について混乱しており、明確にする必要があります。

自作の認可属性は から継承していAuthorizeAttributeます。コントローラーアクションに属性を設定しても、オーバーライドさAuthorizeCoreれたメソッドは毎回実行されます。[OutputCache]私はその部分を理解しています。

今、私にとってのマインドベンダー：実際に出力キャッシュを行い、ページがキャッシュから提供さAuthorizeCoreれると、毎回失敗します。その理由は、リクエストがキャッシュされるとき、httpContext.Session指定されたAuthorizeCore! null? 簡単なコードを次に示します。

httpContext.Sessionである場合null、これは明らかに毎回失敗します。セッションにアクセスする必要がありますが、リクエストが承認されているかどうかを確認するにはどうすればよいですか? これは意味がありません。これが本来あるべき方法である場合、キャッシュされたページを ASP.NET MVC の認証と一緒に使用することはできません。ヘルプ？