我正在开发一个使用 ACS 进行身份验证的 ASP.NET MVC 应用程序。用户必须经过身份验证才能访问网站的任何部分。
我已经创建并配置了我的 ClaimsAuthorizationManager,将我的自定义逻辑放在 CheckAccess 方法中,我正在使用 ThinkTecture 的 IdentityModel 属性在 Controller 方法上以声明方式使用它。
例如:[ClaimsAuthorize("Edit", "Clients")]
如果经过身份验证的用户试图访问他们没有足够权限访问的资源,CheckAccess 方法将按预期返回 false。但是,用户随后会立即再次重定向到登录页面。这显然是不正确的,因为用户已经通过身份验证(只是未授权)。我想要发生的是将用户重定向到一个 View ,该 View 通知用户他们无权访问所需的资源。我一直无法在管道或配置中找到正确的位置来实现这一点。
我能够做到的唯一方法是在 CheckAccess 中抛出自定义异常而不是返回 false,然后在 Application_Error 中处理异常。这显然是不正确的。实现我想要的结果的正确模式是什么?
谢谢
垫子
最佳答案
对于任何感兴趣的人,我按如下方式实现了建议的解决方案:
public class CustomClaimAuthorizeAttribute : ClaimsAuthorizeAttribute
{
public CustomClaimAuthorizeAttribute()
{
}
public CustomClaimAuthorizeAttribute(string action, params string[] resources)
: base(action, resources)
{
}
protected override void HandleUnauthorizedRequest(System.Web.Mvc.AuthorizationContext filterContext)
{
if (filterContext.HttpContext.User.Identity.IsAuthenticated)
{
// User is authenticated but doesn't have sufficent permissions. Redirect to InsufficientPermissions page
filterContext.Result = new RedirectToRouteResult(
new RouteValueDictionary
{
{"Controller", "Security"},
{"Action", "InsufficientPermissions"}
});
}
else
{
base.HandleUnauthorizedRequest(filterContext);
}
}
}
关于asp.net-mvc-4 - ClaimsAuthorizationManager.CheckAccess : Handling false without going to login page,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/18693295/