L'Authentification par formulaires & autorisation MVC 4

Je suis en train de créer un anonyme, un contrôleur afin d'obtenir le formulaire d'authentification. J'ai configuré mon IIS 7 anonymes et formulaire d'authentification activé et l'ensemble de mon site web.config pour refuser les utilisateurs anonymes. Sur la connexion du contrôleur j'ai mis le [AllowAnonymous] décoration sur mon contrôleur (et mes actions).

La seule action que je peux obtenir sur cette configuration est l'action login (qui renvoie le "login"), et je devine que le MVC permet de me rendre cette action parce que je l'ai mis comme l'URL de connexion sur mon site web.config.

Voici ma configuration web de configuration:

     <authentication mode="Forms">
        <forms loginUrl="~/Login/Login" timeout="2880" />
     </authentication>

Toutes les autres actions sont redirigé vers la de login d'action. Sur cette configuration, je ne peux pas réaliser d'autres actions importantes comme mot de passe de restauration, inscrivez-vous, etc.

Ce que je fais mal?

Vous ne pouvez pas nier l'échelle mondiale - mot de passe de la restauration ou de l'inscription doivent être accessibles de manière anonyme.
Donc que dois-je changer? Si je suis en permettant l'accès anonyme, puis tout le site est accessible et MVC ne pas rediriger l'utilisateur non authentifié à l'action login.
Voir ma réponse..

OriginalL'auteur Shahar | 2013-05-05

  1. 15

    Utilisation mondiale d'authentification filtre personnalisé pour le comportement au lieu de la configuration d'autorisation dans le web.config (le meilleur pour MVC)

    ajouter un filtre global

    public class FilterConfig
{
    public static void RegisterGlobalFilters(GlobalFilterCollection filters)
    {
        filters.Add(new AuthorizeAttribute());
    }
}

    Ensuite, [AllowAnonymous] fonctionne, et tous les autres contrôleurs et actions nécessite une Autorisation.

    Pouvez-vous me donner un exemple?
    ..éditée par exemple
    Merci!!!! la peine de mentionner: après l'ajout de toutes les catégories de filtre, vous aurez besoin (comme je l'ai fait) pour autoriser l'accès anonyme à votre site

    OriginalL'auteur hVostt

  2. 12

    Vous pouvez également vous inscrire Authorize filtre dans RegisterGlobalFilters méthode: 

    public static void RegisterGlobalFilters(GlobalFilterCollection filters)
{
    filters.Add(new HandleErrorAttribute());
    filters.Add(new AuthorizeAttribute());
}

    Et ensuite utiliser le AllowAnonymous attribut sur les méthodes d'action qui nécessitent l'accès anonyme:

    [Authorize]
public class AccountController : Controller
{
    [AllowAnonymous]
    public ActionResult RecoverPassword()
    {
     ...
    }
}
    Merci, hVostt a été de 2 minutes avant de vous
    Pas de problème. Heureux vous avez obtenu votre réponse 🙂

    OriginalL'auteur Kamyar

  3. 1

    Il y a deux approches possibles.

    Première vous pouvez refuser les demandes anonymes à l'échelle mondiale avec l'Autoriser l'attribut et de la marque de ces quelques-uns qui n'ont pas besoin d'autorisation avec AllowAnonymous attribut (ce qui est nouveau pour MVC4).

    De deuxième ne pas nier l'échelle mondiale, mais plutôt sûr de votre choix contrôleurs/actions à Autoriser attribut.

    Ce n'est pas exact, en ce qui concerne votre première approche: si vous refusez les demandes anonymes et ne pas ajouter de l'autoriser filtre, vous ne serez pas en mesure d'obtenir à toute action en plus de la connexion de l'action et de l'attribut AllowAnonymous ne seront pas prises en considération par le MVC
    Je n'étais pas assez claire, le refus doit bien sûr être fait avec les Autoriser. J'espère que la version éditée est clair. Merci.

    OriginalL'auteur Wiktor Zychla

  4. 0

    Avez-vous essayer de permettre à l'anonyme d'autorisation pour l'URL, comme dans l'exemple ci-dessous

    <location path="Login/Login">
    <system.web>
        <authorization>
            <allow users="*" />
        </authorization>
    </system.web>
</location>

    Similaires à cela, vous devez définir pour la ResetPassword /Restaurer le mot de passe /s'Inscrire etc...

    La décoration ne pas obtenir le même comportement?

    OriginalL'auteur Saravanan

  5. 0

    J'ai enlevé la partie suivante à partir du web.config puis il a commencé à travailler pour moi.

    <!--<authorization>
  <deny users="?" />
</authorization>-->

    OriginalL'auteur Arulraj