De retour HTTP 403 aide d'Autoriser l'attribut ASP.Net de Base

Lors de l'utilisation de ASP.Net WebAPI, j'ai l'habitude d'avoir un custom Autoriser l'attribut je voudrais l'utiliser pour renvoyer un HTTP 403 ou 401 en fonction de la situation. par exemple, si l'utilisateur n'est pas authentifié, le retour d'un 401; si l'utilisateur est authentifié, mais n'a pas les autorisations appropriées, de retour d'un 403. Voir ici pour plus de discussion sur que.

Il semble aujourd'hui, dans le nouveau ASP.Net de Base, ils ne voulez pas vous en substituant l' Autoriser l'attribut plus la place à la faveur d'une politique basée sur l'approche. Cependant, il semble Core, MVC, souffre de la même "il suffit de retourner 401 pour tous auth erreurs" approche de ses prédécesseurs.

Comment puis-je remplacer le cadre pour obtenir le comportement que je veux?

  • Selon @blowdart, si le MVC6 Autoriser attribut est encore de retour 401 au lieu de 403 lorsqu'un utilisateur est authentifié, mais non autorisé, il y a un bug qui devrait être déposé ou vous faites quelque chose de mal.
  • J'ai supposé que c'était par la conception qu'elle était de retour 401 est, peu importe le scénario. Si ce comportement n'est pas prévu, je vais déposer un bug dans le réseau/sécurité.
  • Voir le dernier commentaire ici: stackoverflow.com/a/31465227/304832
InformationsquelleAutor Chad | 2016-02-26