customerrors pour 401.2 dans ASP.NET

J'ai mis en œuvre avec succès autorisation basée sur les rôles dans ASP.NET. Quand une personne n'a pas de rôle, il arrive à voir une page d'erreur pour 401.2 pas autorisé.

Ce que je voudrais accomplir maintenant est d'avoir un custom 401 page de mon application, et il redirigé via les paramètres dans le web.config. J'ai essayé ceci:

<customErrors mode="RemoteOnly" defaultRedirect="GenericErrorPage.htm">
    <error statusCode="401" redirect="NoAccess.htm" />
</customErrors>

Mais cela ne veut pas attraper. Dois-je le remplacer dans IIS à la place? J'espère que non car ce serait rendre les choses déployé plus difficile.

OriginalL'auteur Nyla Pareska | 2010-01-13

  1. 7

    J'ai rencontré le même problème récemment et il s'avère que c'est une des bizarreries lors de l'utilisation de l'Authentification Windows.

    Joshua Flanagan créé un nice HttpModule il y a le respect de la customErrors section de votre site web.config et rediriger l'erreur 401 page.

    La clé de la solution est d'intercepter le EndRequest cas de la page du cycle de vie, de vérifier 401 code d'état, et ensuite exécuter votre page personnalisée.

    La portabilité de la HttpModule est agréable parce qu'il rend la solution réutilisable, et maintient votre Global.asax propre, mais il n'y a rien qui vous empêche de câblage de votre événement EndRequest dans le monde.asax avec son code, si vous avez vraiment voulu.

    Si vous êtes en utilisant ASP.NET MVC, la solution n'est pas aussi élégant.

    OriginalL'auteur Ryan Rivest

  2. 3

    Si vous ne souhaitez pas ajouter un HttpModule

    dans le web.config

    <system.web>
    <customErrors mode="On" defaultRedirect="~/MyController/MyErrorAction/" redirectMode="ResponseRedirect">
      <error statusCode="401" redirect="~/MyController/MyErrorAction/" />
    </customErrors>

    mondiale.asax.cs

        protected void Application_EndRequest(object sender, EventArgs e)
    {
        HttpApplication application = (HttpApplication)sender;

        if (application.Response.StatusCode != 401 || !application.Request.IsAuthenticated) return;

        application.Response.ClearContent();

        //You can replace the piece below is to redirect using MVC, or your can replace all this with application.Server.Execute(yourPage);
        IController errorController = new SharedController();
        var rd = new RouteData();
        rd.Values.Add("controller", "MyController");
        rd.Values.Add("action", "MyErrorAction");
        rd.Values.Add("value", "You or your user group do not have permissions to use the address: " + Request.Url.PathAndQuery);

        errorController.Execute(new RequestContext(new HttpContextWrapper(Context), rd));
        HttpContext.Current.Server.ClearError();
    }
    Est la négation de l'IsAuthenticated vraiment correcte? Ne devrait-elle pas être dans l'autre sens, c'est à dire si authentifié => retour à partir de la méthode?
    Il semble que cette méthode ne fonctionne pas si vous avez des variables de session sur la page. Je reçois ce quand il essaie d'exécuter la page Object reference not set to an instance of an object

    OriginalL'auteur Junior M

  3. 3

    Voici un MVC agnostique variante:

    Dans Le Web.config

    <customErrors mode="RemoteOnly" defaultRedirect="GenericErrorPage.htm">
    <error statusCode="401" redirect="NoAccess.htm" />
</customErrors>

    Mondiale.asax.cs

    protected void Application_EndRequest(object sender, EventArgs e)
{
    HttpApplication application = (HttpApplication)sender;

    if (application.Response.StatusCode != 401 || !application.Request.IsAuthenticated) return;

    var customErrors = (CustomErrorsSection)ConfigurationManager.GetSection("system.web/customErrors");

    var accessDeniedPath = customErrors.Errors["401"] != null ? customErrors.Errors["401"].Redirect : customErrors.DefaultRedirect;
    if (string.IsNullOrEmpty(accessDeniedPath))
        return; //Let other code handle it (probably IIS).

    application.Response.ClearContent();
    application.Server.Execute(accessDeniedPath);
    HttpContext.Current.Server.ClearError();
}

    OriginalL'auteur Jeremy Cook

  4. 1

    Voici ce qui a bien fonctionné pour moi.

    Mondiale.asax - 

        protected void Application_EndRequest(object sender, EventArgs e)
    {
        if (Response.StatusCode == 401 && Request.IsAuthenticated)
        {
            Response.StatusCode = 303;
            Response.Clear();
            Response.Redirect("~/AccessDenied.html");
            Response.End();
        }
    }

    Web.config -

      <system.web>
    <customErrors mode="On">
      <error statusCode="401" redirect="AccessDenied.html"/>
    </customErrors>
    <authentication mode="Windows"/>
  </system.web>
  <location path="AccessDenied.html">
    <system.web>
      <authorization>
        <allow roles="*"/>
      </authorization>
    </system.web>
  </location>
  <location path=".">
    <system.web>
      <authorization>
        <allow roles="YourADGroup"/>
        <deny users="*" />
      </authorization>
    </system.web>
  </location>

    Cela prend en charge la double 401 avant un 200 question.
    Contourne également les satanés firefox popup d'authentification.

    OriginalL'auteur Ditti