我的站点有管理区域:http://www.mysite.com/webadmin,我想通过角色来保护它(我正在使用 ASP.NET 表单身份验证),这样只有具有“管理员”角色的用户才能访问它。 在 web.config 我添加了这个条目:
<location path="WebAdmin">
<system.web>
<authorization>
<deny users="*"/>
<allow roles="admin"/>
</authorization>
</system.web>
</location>
并且它“有点”工作 - 如果您不是“管理员”角色,它会将您重定向到登录页面。但我不希望这样,我想显示一个错误页面。有什么办法可以控制这种行为?
谢谢你, 安德烈
【问题讨论】:
标签: asp.net web-config forms-authentication role
您可以通过 web.config 更改您的文件 认为 是登录页面的 URL。 (见http://www.15seconds.com/issue/020220.htm。)
考虑用您的自定义错误页面 URL 替换配置中的真实登录 URL。
编辑:
如果在整个虚拟目录中将此作为通用解决方案实施,则 web.config 方法是可行的。 (尝试在 web.config 中的 <location> 元素下配置自定义 loginUrl 将导致配置错误。)
您可以通过在管理页面(或管理页面的基类)中注入诸如此类的代码来强制地对此行为进行更细粒度的控制:
protected override void OnPreInit(EventArgs e)
{
base.OnPreInit(e);
if (!User.IsInRole("admin"))
{
Response.Redirect("~/ErrorPage.aspx?reason=denied");
}
}
您还可以考虑创建一个HttpModule,或利用您的 Global.asax,以更通用的方式处理授权,而不依赖于页面继承。见http://msdn.microsoft.com/en-us/library/ms227673.aspx。使用 BeginRequest 事件检查 URL 路径,如果它与您的模式匹配,则传递您想要传递的错误或重定向。
【讨论】: