我知道我可以使用 web.config 中的授权标签来限制对 ASP.NET MVC 3 应用程序的访问
或使用 [Authorize()] 属性(甚至使用自定义 Authorize 属性)装饰控制器基类
[AdminOnly]
public class BaseController : Controller{}
问题是:它们是替代方法和等效方法吗?我应该总是使用一种方法而不是另一种吗?我应该记住哪些要素?
【问题讨论】:
标签: asp.net security asp.net-mvc-3
我知道我可以使用 web.config 中的授权标签来限制对 ASP.NET MVC 3 应用程序的访问
不,不要在 ASP.NET MVC 中使用它。
问题是:它们是替代方法和等效方法吗?
不,它们不是替代品。您不应在 ASP.NET MVC 应用程序的 web.config 中使用 <authorization> 标记,因为它基于路径,而 MVC 与控制器操作和路由一起使用。在 ASP.NET MVC 中进行授权的正确方法是使用 [Authorize] 属性。
【讨论】:
/admin 的访问。但是在 MVC 中你有路由。这些路由在 Global.asax 中定义。它们反映了控制器和操作。因此,应该保护的是您的控制器和操作,而不是一些不存在的虚拟路径。