Autorisieren Attribut in ASP.NET MVC

Question

Ich habe eine harte Zeit zu verstehen, echte Verwendung von [Authorize] Attribut in ASP.NET MVC. Nach dem Konzept, wenn wir eine Controller-Methode mit [Authorize] Attribut schmücken, dürfen nur authentifizierte Benutzer auf die Controller zugreifen.

Ich habe eine ASP.NET MVC-Anwendung ohne Deko-Controller mit [Authorize] Attribut entwickelt. Was ich beobachtet habe, ist, wenn ich den Authentifizierungsmechanismus in meiner Anwendung mit web.config oder auf andere Weise richtig implementiere, kann ich jetzt auf die URL {controller}/{action}/{id} einer bestimmten Aktionsmethode zugreifen.

System immer nach Login fragen. Das bedeutet, dass meine Controller gesichert sind. Meine Frage ist dies, wenn ich meine Controller ohne Verwendung von [Authorize] Attribut sichern kann, was ist das wirkliche Bedürfnis danach?

Answer 1

Wirkliche Macht kommt mit Verständnis und Implementierung Mitgliedschaft Provider zusammen mit Rollenanbieter. Sie können Benutzern Rollen zuweisen, und entsprechend dieser Einschränkung können Sie verschiedene Zugriffsrollen für verschiedene Benutzer- oder Controller-Aktionen oder Controller selbst anwenden.

[Authorize(Users = "Betty, Johnny")] 
public ActionResult SpecificUserOnly() 
{ 
    return View(); 
} 

oder Sie können nach Gruppe beschränken

[Authorize(Roles = "Admin, Super User")] 
public ActionResult AdministratorsOnly() 
{ 
    return View(); 
} 

Answer 2

Es existiert, weil es bequemer ist, verwenden sie auch eine ganz andere Ideologie Attribute mit den Autorisierungsparameter zu markieren, anstatt XML-Konfiguration. Es war nicht dazu gedacht, allgemeine Konfigurationen oder andere Autorisierungs-Frameworks zu überlisten, nur MVCs Art, dies zu tun. Ich sage das, weil es scheint, dass Sie nach einer technischen Eigenschaft suchen, die Vorteile wahrscheinlich nicht ... einfach großartige Bequemlichkeit sind.

BobRock bereits die Vorteile aufgelistet. Um nur zu seiner Antwort hinzuzufügen, sind andere Szenarien, dass Sie dieses Attribut auf den gesamten Controller anwenden können, nicht nur auf Aktionen. Sie können auch verschiedenen Rollenautorisierungsparametern verschiedene Aktionen in demselben Controller hinzufügen, um sie zu mischen und anzupassen.

Answer 3

Verwenden Authorize Attribut scheint bequemer und fühlt sich mehr "MVC Weg". Bezüglich technischer Vorteile gibt es einige.

Ein Szenario, das mir in den Sinn kommt, ist, wenn Sie Ausgabe-Caching in Ihrer App verwenden. Autorize-Attribut behandelt das gut.

Eine andere wäre Erweiterbarkeit. Das Attribut Authorize ist nur ein einfacher Out-of-the-Box-Filter, aber Sie können seine Methoden überschreiben und einige Aktionen wie die Protokollierung usw. vorautorisieren. Ich bin mir nicht sicher, wie Sie das durch die Konfiguration tun würden.

Answer 4

Ein Vorteil besteht darin, dass Sie den Zugriff auf die Anwendung kompilieren, sodass er nicht versehentlich von jemandem geändert werden kann, der die Datei Web.config ändert.

Dies ist möglicherweise kein Vorteil für Sie und könnte ein Nachteil sein. Aber für einige Arten des Zugangs mag es vorzuziehen sein.

Plus, ich finde, dass Autorisierungsinformationen in der Web.config verschmutzt es, und macht es schwieriger zu finden, Dinge. In mancherlei Hinsicht ist es so, in anderen gibt es keinen anderen Weg, es zu tun.

Answer 5

Mithilfe der Attribute [Authorize] können Sicherheitslücken in Ihrer Anwendung verhindert werden. Die Art und Weise, wie MVC URLs behandelt (d. H. Sie an einen Controller statt an eine tatsächliche Datei weiterleitet), macht es schwierig, alles über die Datei web.config zu sichern.

Lesen Sie mehr hier: http://blogs.msdn.com/b/rickandy/archive/2012/03/23/securing-your-asp-net-mvc-4-app-and-the-new-allowanonymous-attribute.aspx