Jak przekierować [Autoryzuj] na loginUrl tylko wtedy, gdy role nie są używane?

Question

Chcę, aby [Authorize] przekierować do loginUrl, chyba że używam również roli, takiej jak [Authorize (Roles="Admin")]. W takim przypadku chcę po prostu wyświetlić stronę z informacją, że użytkownik nie jest autoryzowany.

Co należy zrobić?

Answer 1

Oto kod z mojej zmodyfikowanej implementacji AuthorizeAttribute; Nazwałem to SecurityAttribute. Jedyną rzeczą, która mi się zmieniło to metoda OnAuthorization i dodałem dodatkową właściwość ciąg adresu URL przekierować do nieautoryzowanego stronie:

// Set default Unauthorized Page Url here 
private string _notifyUrl = "/Error/Unauthorized"; 

public string NotifyUrl { 
    get { return _notifyUrl; } set { _notifyUrl = value; } 
} 

public override void OnAuthorization(AuthorizationContext filterContext) { 
    if (filterContext == null) { 
     throw new ArgumentNullException("filterContext"); 
    } 

    if (AuthorizeCore(filterContext.HttpContext)) { 
     HttpCachePolicyBase cachePolicy = 
      filterContext.HttpContext.Response.Cache; 
     cachePolicy.SetProxyMaxAge(new TimeSpan(0)); 
     cachePolicy.AddValidationCallback(CacheValidateHandler, null); 
    } 

    /// This code added to support custom Unauthorized pages. 
    else if (filterContext.HttpContext.User.Identity.IsAuthenticated) 
    { 
     if (NotifyUrl != null) 
      filterContext.Result = new RedirectResult(NotifyUrl); 
     else 
      // Redirect to Login page. 
      HandleUnauthorizedRequest(filterContext); 
    } 
    /// End of additional code 
    else 
    { 
     // Redirect to Login page. 
     HandleUnauthorizedRequest(filterContext); 
    } 
} 

to nazwać tak samo jak oryginalny AuthorizeAttribute, chyba że jest dodatkową właściwość, aby zastąpić nieautoryzowanemu URL strony:

// Use custom Unauthorized page: 
[Security (Roles="Admin, User", NotifyUrl="/UnauthorizedPage")] 

// Use default Unauthorized page: 
[Security (Roles="Admin, User")] 

Answer 2

Najprostszy sposób, jaki znalazłem, polega na rozszerzeniu i dostosowaniu AuthorizeAttribute tak, aby zrobił coś innego (tj. Nie ustawił HttpUnauthorizedResult), gdy sprawdzanie ról nie powiedzie się. Napisałem o tym na moim blogu article, który może ci się przydać. Artykuł opisuje to, czego potrzebujesz, ale idzie dalej i pozwala użytkownikowi, który "posiada" dane, na dostęp do akcji. Myślę, że modyfikacja powinna być dość łatwa do twoich celów - wystarczy usunąć część "lub właściciela".

Answer 3

rozszerzyć klasę AuthorizeAttribute i zastąpić HandleUnauthorizedRequest

public class RoleAuthorizeAttribute : AuthorizeAttribute 
{ 
    private string redirectUrl = ""; 
    public RoleAuthorizeAttribute() : base() 
    { 
    } 

    public RoleAuthorizeAttribute(string redirectUrl) : base() 
    { 
     this.redirectUrl = redirectUrl; 
    } 

    protected override void HandleUnauthorizedRequest(AuthorizationContext filterContext) 
    { 
     if (filterContext.HttpContext.Request.IsAuthenticated) 
     { 
      string authUrl = this.redirectUrl; //passed from attribute 

      //if null, get it from config 
      if (String.IsNullOrEmpty(authUrl)) 
       authUrl = System.Web.Configuration.WebConfigurationManager.AppSettings["RolesAuthRedirectUrl"]; 

      if (!String.IsNullOrEmpty(authUrl)) 
       filterContext.HttpContext.Response.Redirect(authUrl); 
     } 

     //else do normal process 
     base.HandleUnauthorizedRequest(filterContext); 
    } 
} 

Wykorzystanie

[RoleAuthorize(Roles = "Admin, Editor")] 
public class AccountController : Controller 
{ 

} 

I upewnij się dodać swój wpis AppSettings w config

<appSettings> 
    <add key="RolesAuthRedirectUrl" value="http://mysite/myauthorizedpage" /> 
</appSettings>