authorization- все статьи тега
MVC "Доступ запрещен" с помощью IIS
Возникли серьезные проблемы с выходом за пределы сообщения "доступ запрещен": Сообщение об ошибке 401.2: несанкционированный вход в систему не удался из-за конфигурации сервера. Убедитесь, что у вас есть разрешение на просмотр этого каталога или страницы на основе предоставленных учетных данных и методов проверки подлинности, включенных на веб-сервере. Обратитесь за дополнительной помощью к администратору веб-сервера. Как я сюда попал Работает под управлением Windows 7, Professional. ...
Почему AuthorizeAttribute перенаправляет на страницу входа для сбоев проверки подлинности и авторизации?
In ASP.NET MVC, вы можете пометить метод контроллера с помощью AuthorizeAttribute, например: [Authorize(Roles = "CanDeleteTags")] public void Delete(string tagName) { // ... } это означает, что, если текущий вошедший в систему пользователь не находится в роли "CanDeleteTags", метод контроллера никогда не будет вызван. к сожалению, для сбоев, AuthorizeAttribute возвращает HttpUnauthorizedResult, который всегда возвращает код состояния HTTP 401. Это вызывает перенаправление на страницу вх ...
Как создать пользовательский атрибут AuthorizeAttribute в ASP.NET ядро?
Я пытаюсь сделать пользовательский атрибут авторизации в ASP.NET ядро. В предыдущих версиях можно было переопределить bool AuthorizeCore(HttpContextBase httpContext). Но это больше не существует в AuthorizeAttribute. каков текущий подход к созданию пользовательского атрибута AuthorizeAttribute? что я пытаюсь сделать: я получаю идентификатор сеанса в заголовке авторизации. Из этого идентификатора я буду знать, действительно ли определенное действие. ...
Заголовок HTTP-авторизации
мне было интересно, допустимо ли помещать пользовательские данные в заголовок авторизации HTTP. Мы разрабатываем RESTful API, и нам может понадобиться способ указать пользовательский метод авторизации. В качестве примера назовем его FIRE-TOKEN проверка подлинности. было бы что-то вроде этого действительным и разрешенным в соответствии со спецификацией: Authorization: FIRE-TOKEN 0PN5J17HBGZHT7JJ3X82:frJIUN8DYpKDtOLCwo//yllqDzg= первая часть второй строки (перед':') является ключом API, вторая ч ...
Как правильно определить базовую аутентификацию HTTP с помощью cURL?
Я учусь Apigility (Apigility docu - > Rest Service Tutorial) и пытается отправить запрос POST с обычной аутентификацией через cURL: $ curl -X POST -i -H "Content-Type: application/hal+json" -H "Authorization: Basic YXBpdXNlcjphcGlwd2Q=" http://apigilityhw.sandbox.loc/status YXBpdXNlcjphcGlwd2Q= это базовая 64 кодированная строка с моими учетными данными apiuser:apipwd. Учетные данные сохраняются в /data/htpasswd (apiuser:$apr1J4cyqEw$WKga3rQMkxvnevMuBaekg/). выглядит так: HTTP/1.1 401 Un ...
Настройка заголовка HTTP авторизации
мне нужно аутентифицировать клиента, когда он отправляет запрос в API. У клиента есть API-токен, и я думал об использовании стандартного Authorization заголовок для отправки маркера на сервер. обычно этот заголовок используется для Basic и Digest проверка подлинности. Но я не знаю, Могу ли я настроить значение этого заголовка и использовать пользовательскую схему auth, например: Authorization: Token 1af538baa9045a84c0e889f672baf83ff24 вы бы порекомендовали это или нет? Или есть лучший подход ...
Перенаправление несанкционированного контроллера в ASP.NET MVC
У меня есть контроллер в ASP.NET MVC, который я ограничил ролью администратора: [Authorize(Roles = "Admin")] public class TestController : Controller { ... если пользователь, который не находится в роли администратора переходит к этому контроллеру они приветствуются с пустым экраном. что я хотел бы сделать, это перенаправить их на просмотр, который говорит: "вам нужно быть в роли администратора, чтобы иметь доступ к этому ресурсу." один из способов сделать это, о котором я думал, - это п ...
Как предотвратить CSRF в приложении RESTful?
подделка межсайтовых запросов (CSRF) обычно предотвращается одним из следующих методов: Проверьте referer-спокойный, но ненадежный вставьте токен в форму и сохраните токен в сеансе сервера-не очень RESTful загадочный один раз URIs-не успокоительный по той же причине, что и токены отправить пароль вручную для этого запроса (не кэшированный пароль, используемый с http auth) - RESTful но не удобно моя идея состоит в том, чтобы использовать секрет пользователя, загадочный, но статический идентифи ...
Аутентификация и авторизация пользователей в системе ASP.NET MVC [закрыто]
каков наилучший метод авторизации/аутентификации пользователей в ASP.NET MVC? Я вижу, что на самом деле есть два подхода: используйте встроенный ASP.NET система авторизации. используйте пользовательскую систему с моим собственным пользователем, разрешением, таблицами групп пользователей и т. д. Я бы предпочел второй вариант, потому что пользователь является частью моей модели предметной области (и у меня ноль опыт работы с ASP.NET встроенный материал), но я бы действительно хотелось бы усл ...