Pourquoi est - <refuser les utilisateurs=“?” /> inclus dans l'exemple suivant?
La ?
générique représente les utilisateurs non authentifiés tout *
représente tous les utilisateurs authentifiés et non authentifié. Mon livre montre l'exemple suivant de l'autorisation d'URL:
<authorization>
<deny users="?" />
<allow users="dan,matthew" />
<deny users="*" />
</authorization>
Mais ne pas le code ci-dessus ont le même effet que :
<authorization>
<allow users="dan,matthew" />
<deny users="*" />
</authorization>
ou de l'auteur comprennent également <deny users="?" />
règle pour une raison?
Vous devez vous connecter pour publier un commentaire.
ASP.NET bourses d'accès du fichier de configuration comme une question de préséance. Dans le cas d'un conflit potentiel, la première survenant accorder la priorité. Donc,
refuse l'accès de l'utilisateur anonyme. Puis
accorde l'accès à cet utilisateur. Enfin, il refuse l'accès à tout le monde. Cette secoue comme tout le monde, sauf dan,matthieu est vu refuser l'accès.
Modifiées afin d'ajouter: et comme @Déviants souligne, en niant l'accès non authentifié est inutile, depuis la dernière entrée comprend non authentifié en tant que bien. Une bonne entrée de blog discuter de ce sujet peut être trouvé à: Guru Sarkar Blog
"Au moment de l'exécution, le module d'autorisation parcourt l'autoriser et refuser éléments, en commençant par le plus fichier de configuration local, jusqu'à ce que le module d'autorisation trouve la première règle d'accès qui correspond à un compte utilisateur particulier. Ensuite, le module d'autorisation accorde ou refuse l'accès à une URL de la ressource selon que la première règle est de permettre ou de refuser la règle. Le défaut d'autorisation de règle . Ainsi, par défaut, l'accès est autorisé, sauf si configuré autrement."
Article à MSDN
Dans votre 1er exemple refuser * n'affectera pas dan, matthieu, car ils étaient déjà autorisées par la règle précédente.
Selon les docs, n'est pas une différence dans votre 2 ensembles de règles.
Exemple 1 est pour asp.net applications à l'aide de formes authenication. C'est une pratique courante pour les applications internet parce que l'utilisateur est authentifié, jusqu'à ce qu'il est authentcation à l'encontre de certaines module de sécurité.
L'exemple 2 est pour asp.net application à l'aide de windows authenication. L'Authentification Windows utilise Active Directory pour authentifier les utilisateurs. La volonté d'empêcher l'accès à votre application. J'utilise cette fonction sur les applications intranet.
Voir ces deux liens:
refuser l'Élément d'autorisation (ASP.NET Schéma des Paramètres)
http://msdn.microsoft.com/en-us/library/vstudio/8aeskccd%28v=vs.100%29.aspx
permettre à l'Élément d'autorisation (ASP.NET Schéma des Paramètres):
http://msdn.microsoft.com/en-us/library/vstudio/acsd09b0%28v=vs.100%29.aspx