Comment puis-je empêcher l'entrée d'URL et rediriger l'utilisateur vers la page de login?

Je suis à l'aide de l'authentification par formulaires sur ASP.NET. Si j'essaie d'accéder à une page en copiant la chaîne de requête et le coller dans le navigateur, il me permet d'accéder à la page.

Comment cela peut-il être évité? Je veux que l'utilisateur de toujours avoir à vous connecter.

OriginalL'auteur kalls | 2010-10-26

  1. 5

    Vous devez définir le mode d'authentification dans votre site web.config

      <authentication mode="Forms">
        <forms name="Authen" protection="All" timeout="60" loginUrl="login.aspx"/>
    </authentication>
<authorization>
    <deny users="?"/>
</authorization>
    +1 pour me battre pour elle. Vous pouvez améliorer votre réponse en ajoutant le lien vers le loginUrl Propriété
    actuel il dit <permettre aux utilisateurs="*"/> sur l'autorisation.

    OriginalL'auteur Birby

  2. 1

    Vous pouvez restreindre l'accès à certaines pages à l'aide de la <location> élément. Ainsi, par exemple, pour restreindre l'accès à la sous-dossier admin:

    <system.web>
    <!-- enable Forms authentication -->
    <authentication mode="Forms">
        <forms 
            name="MyAuth" 
            loginUrl="login.aspx" 
            protection="All" 
            path="/" 
        />
    </authentication>
</system.web>

<!-- restrict access to the admin subfolder 
     and allow only authenticated users -->
<location path="admin">
    <system.web>
        <authorization>
            <deny users="?" />
        </authorization>
    </system.web>
</location>

    OriginalL'auteur Darin Dimitrov

  3. 0

    Vous devez ajouter quelque chose de semblable dans le web.fichier de configuration:

    <authorization>
    <allow users="user1, user2"/>
    <deny users=”?”/>
</authorization>

    Qui devrait résoudre le problème. Voir: http://support.microsoft.com/kb/815151

    OriginalL'auteur Jan_V

  4. 0

    En dehors de la configuration de l'authentification dans le web.config fichier, vous pouvez également utiliser le Mondial.asax Session_Start(...) méthode de vérification pour les utilisateurs de la nouvelle session, assurez-vous également de réviser le cookie de session, si elle est null, vous devez rediriger l'utilisateur vers la page de connexion:

    public class Global:System.Web.HttpApplication 
{
    protected void Session_Start(object sender, EventArgs e) 
    {
        if(Session.IsNewSession) 
        {
            if (Request.Headers["Cookie"] != null) 
            {
                if (Request.Headers["Cookie"].IndexOf("Web_App_Login_Cookie", StringComparison.OrdinalIgnoreCase) >= 0)
                {
                    FormsAuthentication.SignOut();
                    Context.User = null;
                    Response.Redirect("~/logOn.aspx");
                }
            }
        }
    }
}

    Aussi, si vous stocker des informations de session dans une classe, vous pouvez remplacer la OnInit(...) méthode dans la classe de base pour s'assurer que l'utilisateur existe déjà dans certains de session personnalisé de la collection, si ce n'est une fois de plus, vous devez rediriger vers la Page de connexion.

    public class SessionBasePage : System.Web.UI.Page
{
    protected override void OnInit(EventArgs e)
    {
        base.OnInit(e);
        if (HttpContext.Current != null && HttpContext.Current.Session != null)            
        {
            UserSession = HttpContext.Current.GetUserSession();
            if (UserSession != null)
            {
                LoggedUserInfo = HttpContext.Current.GetLoggedUserInfo();
                HttpContext.Current.UpdateLoggedUserInfo();
            }
            else { Response.Redirect("~/logOn.aspx", true); }
        }
    }
}

    OriginalL'auteur ArBR