Ich habe eine harte Zeit zu verstehen, echte Verwendung von [Authorize]
Attribut in ASP.NET MVC. Nach dem Konzept, wenn wir eine Controller-Methode mit [Authorize]
Attribut schmücken, dürfen nur authentifizierte Benutzer auf die Controller zugreifen.Autorisieren Attribut in ASP.NET MVC
Ich habe eine ASP.NET MVC-Anwendung ohne Deko-Controller mit [Authorize]
Attribut entwickelt. Was ich beobachtet habe, ist, wenn ich den Authentifizierungsmechanismus in meiner Anwendung mit web.config oder auf andere Weise richtig implementiere, kann ich jetzt auf die URL {controller}/{action}/{id}
einer bestimmten Aktionsmethode zugreifen.
System immer nach Login fragen. Das bedeutet, dass meine Controller gesichert sind. Meine Frage ist dies, wenn ich meine Controller ohne Verwendung von [Authorize]
Attribut sichern kann, was ist das wirkliche Bedürfnis danach?
Danke für die answer.But die gleiche Einschränkung, kann ich verhängen meine web.config mit Verwendung von Mitgliedschaft und Rollenanbieter für die Ansichtsseiten, die durch die Controller zurückgegeben werden. Ich brauche das Attribut [Authosrize] dafür nicht zu verwenden. – techmad
@kaus - Eine Sache, die darauf hinweist, ist, dass die Verwendung einer web.config in einer MVC-App das Potenzial für Sicherheitslücken hat. Das authorize-Attribut berücksichtigt das gesamte ASP.NET-Routing, während Sie mit web.config alle möglichen Routing-Konfigurationen in der App kennen und berücksichtigen müssen. Möglicherweise haben Sie alles berücksichtigt, aber Sie können nicht sicher sein, indem Sie auf web.config und routing.config schauen und wo auch immer Sie hinschauen. Wenn Sie sich die Autorize-Attribute einer Klasse ansehen, wissen Sie, dass sie unabhängig vom Routing sicher ist. – DarrellNorton