Pourquoi est - <refuser les utilisateurs=“?” /> inclus dans l'exemple suivant?

La ? générique représente les utilisateurs non authentifiés tout * représente tous les utilisateurs authentifiés et non authentifié. Mon livre montre l'exemple suivant de l'autorisation d'URL:

<authorization>
  <deny users="?" />
  <allow users="dan,matthew" />
  <deny users="*" />
</authorization>


Mais ne pas le code ci-dessus ont le même effet que :

<authorization>
  <allow users="dan,matthew" />
  <deny users="*" />
</authorization>

ou de l'auteur comprennent également <deny users="?" /> règle pour une raison?

InformationsquelleAutor SourceC | 2009-05-06
  1. 83

    ASP.NET bourses d'accès du fichier de configuration comme une question de préséance. Dans le cas d'un conflit potentiel, la première survenant accorder la priorité. Donc, 

    deny user="?"

    refuse l'accès de l'utilisateur anonyme. Puis 

    allow users="dan,matthew"

    accorde l'accès à cet utilisateur. Enfin, il refuse l'accès à tout le monde. Cette secoue comme tout le monde, sauf dan,matthieu est vu refuser l'accès.

    Modifiées afin d'ajouter: et comme @Déviants souligne, en niant l'accès non authentifié est inutile, depuis la dernière entrée comprend non authentifié en tant que bien. Une bonne entrée de blog discuter de ce sujet peut être trouvé à: Guru Sarkar Blog

    InformationsquelleAutor Cyberherbalist
  2. 38

    "Au moment de l'exécution, le module d'autorisation parcourt l'autoriser et refuser éléments, en commençant par le plus fichier de configuration local, jusqu'à ce que le module d'autorisation trouve la première règle d'accès qui correspond à un compte utilisateur particulier. Ensuite, le module d'autorisation accorde ou refuse l'accès à une URL de la ressource selon que la première règle est de permettre ou de refuser la règle. Le défaut d'autorisation de règle . Ainsi, par défaut, l'accès est autorisé, sauf si configuré autrement."

    Article à MSDN

    deny = * means deny everyone
deny = ? means deny unauthenticated users

    Dans votre 1er exemple refuser * n'affectera pas dan, matthieu, car ils étaient déjà autorisées par la règle précédente.

    Selon les docs, n'est pas une différence dans votre 2 ensembles de règles.

    InformationsquelleAutor Chad Grant
  3. 4

    Exemple 1 est pour asp.net applications à l'aide de formes authenication. C'est une pratique courante pour les applications internet parce que l'utilisateur est authentifié, jusqu'à ce qu'il est authentcation à l'encontre de certaines module de sécurité.

    L'exemple 2 est pour asp.net application à l'aide de windows authenication. L'Authentification Windows utilise Active Directory pour authentifier les utilisateurs. La volonté d'empêcher l'accès à votre application. J'utilise cette fonction sur les applications intranet.

    InformationsquelleAutor Michael Kniskern
  4. 0

    Voir ces deux liens:

    refuser l'Élément d'autorisation (ASP.NET Schéma des Paramètres)
    http://msdn.microsoft.com/en-us/library/vstudio/8aeskccd%28v=vs.100%29.aspx

    permettre à l'Élément d'autorisation (ASP.NET Schéma des Paramètres):
    http://msdn.microsoft.com/en-us/library/vstudio/acsd09b0%28v=vs.100%29.aspx

    • Pouvez-vous expliquer comment cela répond à la question? Les réponses sont attendues pour se tenir debout sur leur propre avec des liens de référence.
    InformationsquelleAutor M.R