为什么AuthorizeAttribute重定向到登录页面以进行身份​​验证和授权失败?

asp.net-mvc authentication authorization

86849 观看

7回复

58863 作者的声誉

在ASP.NET MVC中,您可以使用标记控制器方法AuthorizeAttribute,如下所示:

[Authorize(Roles = "CanDeleteTags")]
public void Delete(string tagName)
{
    // ...
}

这意味着,如果当前登录的用户不具有“ CanDeleteTags”角色,则将永远不会调用控制器方法。

不幸的是,对于失败,AuthorizeAttribute返回HttpUnauthorizedResult,始终返回HTTP状态代码401。这将导致重定向到登录页面。

如果用户未登录,则非常合理。但是,如果用户已经登录,但没有所需的角色,则将他们发送回登录页面会造成混乱。

似乎AuthorizeAttribute将认证和授权混为一谈。

这似乎有点像ASP.NET MVC中的一个疏忽,还是我错过了一些东西?

我不得不煮熟DemandRoleAttribute将两者分开。当用户未通过身份验证时,它将返回HTTP 401,并将其发送到登录页面。当用户登录但没有所需角色时,它将创建一个NotAuthorizedResult。当前,这将重定向到错误页面。

当然我不必这样做吗?

作者: Roger Lipscombe 的来源 发布者: 2008 年 10 月 26 日

回应 (7)


4

22671 作者的声誉

不幸的是,您正在处理ASP.NET表单身份验证的默认行为。这里讨论一种解决方法(我没有尝试过):

http://www.codeproject.com/KB/aspnet/Custon401Page.aspx

(并非特定于MVC)

我认为在大多数情况下,最好的解决方案是在用户尝试到达未授权资源之前限制对未授权资源的访问。通过删除/取消链接或按钮,可能会使他们进入此未经授权的页面。

在属性上具有一个附加参数来指定将未经授权的用户重定向到何处可能会很好。但是与此同时,我将AuthorizeAttribute视为安全网。

作者: Keltex 发布者: 26.10.2008 10:02

4

1363 作者的声誉

我一直认为这确实有意义。如果您已登录,并且尝试访问一个页面,该页面需要一个您没有的角色,那么您将转到登录屏幕,要求您与具有该角色的用户一起登录。

您可以在登录页面中添加逻辑,以检查用户是否已通过身份验证。您可以添加一条友好的消息,以说明为什么再次将它们再次闷闷不乐。

作者: Rob 发布者: 27.10.2008 04:28

24

5020 作者的声誉

将此添加到您的登录Page_Load函数:

// User was redirected here because of authorization section
if (User.Identity != null && User.Identity.IsAuthenticated)
    Response.Redirect("Unauthorized.aspx");

当用户被重定向到那里但已经登录时,它会显示未经授权的页面。如果他们没有登录,它将进入并显示登录页面。

作者: Alan Jackson 发布者: 01.04.2009 01:29

299

4928 作者的声誉

决定

最初开发时,System.Web.Mvc.AuthorizeAttribute做正确的事-HTTP规范的较早版本对“未授权”和“未认证”都使用了状态码401。

从原始规格:

如果请求已包含授权凭证,则401响应指示已拒绝这些凭证的授权。

实际上,您可以在此处看到混乱-当它表示“身份验证”时使用“授权”一词。但是,在日常实践中,当用户经过身份验证但未经授权时,返回403禁止访问更为有意义。用户不太可能拥有第二组凭据来授予他们访问权限-整个用户体验都很差。

考虑大多数操作系统-尝试读取您无权访问的文件时,不会显示登录屏幕!

值得庆幸的是,HTTP规范已更新(2014年6月)以消除歧义。

来自“超文本传输​​协议(HTTP / 1.1):身份验证”(RFC 7235):

401(未经授权)状态代码表示该请求尚未应用,因为它缺少目标资源的有效身份验证凭据。

来自“超文本传输​​协议(HTTP / 1.1):语义和内容”(RFC 7231):

403(禁止)状态码表示服务器理解了请求,但拒绝授权。

有趣的是,在发布ASP.NET MVC 1时,AuthorizeAttribute的行为是正确的。现在,该行为是不正确的-HTTP / 1.1规范已修复。

与其尝试更改ASP.NET的登录页面重定向,还不如尝试从源头上解决问题,这更容易。您可以在网站的默认名称空间中创建一个具有相同名称(AuthorizeAttribute)的新属性(这很重要),然后编译器将自动选择它,而不是MVC的标准属性。当然,如果您愿意采用这种方法,则可以始终为属性指定一个新名称。

[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, Inherited = true, AllowMultiple = true)]
public class AuthorizeAttribute : System.Web.Mvc.AuthorizeAttribute
{
    protected override void HandleUnauthorizedRequest(System.Web.Mvc.AuthorizationContext filterContext)
    {
        if (filterContext.HttpContext.Request.IsAuthenticated)
        {
            filterContext.Result = new System.Web.Mvc.HttpStatusCodeResult((int)System.Net.HttpStatusCode.Forbidden);
        }
        else
        {
            base.HandleUnauthorizedRequest(filterContext);
        }
    }
}
作者: ShadowChaser 发布者: 30.04.2011 10:00

0

21 作者的声誉

在您的Global.ascx文件的Application_EndRequest处理程序中尝试此操作

if (HttpContext.Current.Response.Status.StartsWith("302") && HttpContext.Current.Request.Url.ToString().Contains("/<restricted_path>/"))
{
    HttpContext.Current.Response.ClearContent();
    Response.Redirect("~/AccessDenied.aspx");
}
作者: Kareem Cambridge 发布者: 08.01.2015 09:44

0

13986 作者的声誉

如果您使用的是aspnetcore 2.0,请使用以下命令:

using System;
using Microsoft.AspNetCore.Mvc;
using Microsoft.AspNetCore.Mvc.Filters;

namespace Core
{
    [AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, Inherited = true, AllowMultiple = true)]
    public class AuthorizeApiAttribute : Microsoft.AspNetCore.Authorization.AuthorizeAttribute, IAuthorizationFilter
    {
        public void OnAuthorization(AuthorizationFilterContext context)
        {
            var user = context.HttpContext.User;

            if (!user.Identity.IsAuthenticated)
            {
                context.Result = new UnauthorizedResult();
                return;
            }
        }
    }
}
作者: Greg Gum 发布者: 14.02.2018 11:05

0

1982 作者的声誉

在我的情况下,问题是“ HTTP规范对“未经授权”和“未经身份验证”都使用了状态码401”。正如ShadowChaser所说。

此解决方案适用于我:

if (User != null &&  User.Identity.IsAuthenticated && Response.StatusCode == 401)
{
    //Do whatever

    //In my case redirect to error page
    Response.RedirectToRoute("Default", new { controller = "Home", action = "ErrorUnauthorized" });
}
作者: César León 发布者: 18.03.2019 06:38
32x32