Part 70 - Authorize and AllowAnonymous action filters in mvc

最新推荐文章于 2018-11-27 11:43:10 发布
最新推荐文章于 2018-11-27 11:43:10 发布
阅读量276 收藏
点赞数
分类专栏: MVC
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhouranlovesmile/article/details/53148541
版权

In ASP.NET MVC, by default, all the controller action methods are accessible to both anonymous and authenticated users. If you want action methods, to be available only for authenticated and authorised users, then use Authorize attribute. Let us understand "Authorize" and "AllowAnonymous" action filters with an example. 

1. Create a blank asp.net mvc4 application. Name your application MVCDemo.

2. Right click on the "Controllers" folder and add HomeController. Copy and paste the following code. 
public class HomeController Controller
{
    public ActionResult NonSecureMethod()
    {
        return View();
    }

    public ActionResult SecureMethod()
    {
        return View();
    }
}

3. Right click on NonSecureMethod() and add a view with name = NonSecureMethod. Similarly add a view with name = SecureMethod.

4. Associate MVCDemo project with IIS. 
a) Right click on the project name in "solution explorer" and select "Properties"
b) Click on "Web" tab
c) Select "Use Local IIS Web Server". In the "Project Url" textbox, type - http://localhost/MVCDemo
d) Click "Create Virtual Directory" button

5. Open IIS. Expand "Sites" and then "Default Web Site" and select "MVCDemo". Double click on "Authentication" icon. Enable "Anonymous Authentication" and "Windows Authentication", if they are not already enabled.

6. At this point, you will be able to access, both "SecureMethod" and "NonSecureMethod", by visiting the following URLs.
http://localhost/MVCDemo/Home/SecureMethod
http://localhost/MVCDemo/Home/NonSecureMethod

7. If you want "SecureMethod" to be available only for authenticated users, then decorate it with "Authorize" attribute.
[Authorize]
public ActionResult SecureMethod()
{
    return View();
}

8. Now, if you navigate to "http://localhost/MVCDemo/Home/SecureMethod", then you will be prompted for your windows credentials. If you don't provide valid windows credentials or if you click cancel, you will get an error - 401 - Unauthorized: Access is denied due to invalid credentials. You do not have permission to view this directory or page using the credentials that you supplied. You should be able to access "NonSecureMethod" 

9. Now remove the [Authorize] attribute from SecureMethod(), and apply it on the HomeController.
[Authorize]
public class HomeController Controller
{
    public ActionResult NonSecureMethod()
    {
        return View();
    }

    public ActionResult SecureMethod()
    {
        return View();
    }
}

At this point, "Authorize" attribute is applicable for all action methods in the HomeController. So, only authenticated users will be able to access SecureMethod() and NonSecureMethod().

10. To allow anonymous access to NonSecureMethod(), apply [AllowAnonymous] attribute. AllowAnonymous attribute is used to skip authorization enforced by Authorize attribute. 
[AllowAnonymous]
public ActionResult NonSecureMethod()
{
    return View();
} 

zhouranlovesmile
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MVC 中一个action上面加[Authorize]是什么意思
Java_c#
03-15 3106
[Authorize] 过滤器提供了一种声明的方式来控制对Controller或Action方法的访问权限,它允许你表示用户必须已经登录,或者要求他们必须是某个特定的用户或是某个特定的安全角色才能访问。 //保存完之后上传照片 [Authorize] public ActionResult RegistrationFormSaveUploadPho
ASP.NET Core定义过滤器、拦截器,控制接口、资源、网页、静态文件等的访问,添加权限验证,防攻击爬虫
程序员养成计划
02-15 2479
1、添加接口过滤器类ActionFilter-继承IActionFilter-显示修补程序,得到如下代码 using Microsoft.AspNetCore.Mvc.Filters; using System; using System.Collections.Generic; using System.Linq; using System.Threading.Tasks; namespa...
ASP.NET MVC使用AllowAnonymous特性跳过授权验证
热门推荐
pan_junbiao的博客
11-27 2万+
AllowAnonymous表示一个特性,该特性用于标记在授权期间要跳过 System.Web.Mvc.AuthorizeAttribute 的控制器和操作。 1、在Authorize过滤器类中添加如下代码 //判断是否跳过授权过滤器 if (filterContext.ActionDescriptor.IsDefined(typeof(AllowAnonymousAttribute), t...
Professional C# 6 and .NET Core 1.0 - Chapter 41 ASP.NET MVC
weixin_33816611的博客
02-17 961
What’s In This Chapter? Features of ASP.NET MVC 6 Routing Creating Controllers Creating Views Validating User Inputs Using Filters Working with HTML and Tag Helpers Creating Data-Driven We...
MVC】ASP.NET MVC 4项目模板的结构简介
06-21 176
引言 在VS2012新建一个窗体验证的MVC 4项目后,可以看到微软已经帮我们做了很多了,项目里面该有的都有了,完全可以看成一个简单网站.作为开发,能理解里面文件结构和作用,也算是半只脚踏进MVC的大门了.下面依次介绍其中的文件作用. App_Start AuthConfig.cs AuthConfig类的RegisterAu...
SignalR + KnockoutJS + ASP.NET MVC4 实现井字游戏
weixin_34238642的博客
04-23 131
1.1.1 摘要 今天,我们将使用SignalR + KnockoutJS + ASP.NET MVC实现一个实时HTML5的井字棋游戏。 首先,网络游戏平台一定要让用户登陆进来,所以需要一个登陆模块,然后就是游戏设计并且在游戏过程中保持用户连接有效性,假设用户玩着玩着突然掉线这肯定会使用户很不爽;因此,保持客户端和服务端通讯的稳定性变得至关重要了,这里我们将使用SignalR和Html5保持...
C# 实现身份验证之WebApi篇
a572893208的博客
10-09 1125
今天再来总结关于如何实现WebApi的身份验证,以完成该系列所有文章,WebApi常见的实现方式有:FORM身份验证、集成WINDOWS验证、Basic基础认证、Digest摘要认证 第一种:FORM身份验证(若在ASP.NET应用程序使用,则该验证方式不支持跨域,因为cookie无法跨域访问) 1.定义一个FormAuthenticationFilterAttribute,该类继...
关于WEB Service&WCF&WebApi实现身份验证之WebApi篇
weixin_33971205的博客
01-20 250
之前先后总结并发表了关于WEB Service、WCF身份验证相关文章,如下: 关于WEB Service&WCF&WebApi实现身份验证之WEB Service篇、 关于WEB Service&WCF&WebApi实现身份验证之WCF篇(1)、关于WEB Service&WCF&WebApi实现身份验证之WCF篇(2) 今天再来总结关于如何...
Flask-Authorize:Flask的授权和访问控制
05-03
Flask-Authorize是Flask扩展,旨在简化将访问控制列表(ACL)和基于角色的访问控制(RBAC)合并到包含敏感数据的应用程序中的过程,从而使开发人员可以专注于其应用程序的实际代码,而不是逻辑强制执行权限。...
Laravel开发-laravel-authorize
08-28
在Laravel框架中,"laravel-authorize"是一个用于实现基于角色和权限的用户授权的扩展包。这个扩展包使得开发者能够更灵活、更安全地控制用户对不同资源的访问,确保只有具备特定角色或权限的用户才能执行特定的操作...
rack-authorize:用于授权api访问的Rack中间件
05-24
Rack :: Authorize是用于授权api访问的Rack中间件。 我们知道有Cancan,它是Ruby on Rails的出色授权库。 但是Cancan的规则是为Ruby Class定义的,当我们创建Web服务时,限制对api端点的访问是一项常见的任务。 这...
Authentic-Authorize
05-23
"Authentic-Authorize"项目是一个基于Ruby框架Rails的应用程序,它涉及到数据库的创建、迁移和数据填充,以及用户身份验证。在这个应用中,重点在于实现一个带有凭证的登录页面,提供安全的身份验证机制。 首先,让...
web聊天室(.net core MVC + signalr + EF + Authorize
06-16
【标题】"web聊天室(.net core MVC + signalr + EF + Authorize)" 描述了一款基于.NET Core MVC框架、使用SignalR实现实时通信、Entity Framework(EF)进行数据库操作,并结合Authorize进行权限控制的Web聊天室...
@Html.EditorForModel()用法
zhouranlovesmile的博客
11-03 4569
MSDN上对@Html.EditorForModel()的解释是Returns an HTML input element for each property in the model, using additional view data, 即使用另外一个View来为本VIew中Model每一个属性返回一个Html 输入元素。 以Student类为例具体用法如下: 1, 在Student
Part 80 - mvc 中的 StringLength 属性
zhouranlovesmile的博客
11-10 1643
用法很简单,具体示例如下: StringLength attribute is present in System.ComponentModel.DataAnnotations namespace and is used to enforce minimum and maximum length of characters that are allowed in a data field.
Part 76 - ValidateInput attribute in mvc 允许文本框输入html标签
zhouranlovesmile的博客
11-10 1079
只需设置ValidateInput属性为false,即可允许在文本框输入html标签。若需要详细了解,请往下看: This validateInput attribute is used to enable or disable request validation. By default, request validation is enabled in asp.net mvc,  Let's
Part 71 - childactiononly attribute in mvc
zhouranlovesmile的博客
11-13 587
In this video, we will discuss childactiononly attribute in asp.net mvc. Let us understand this with an example.   Step 1: Create a blank asp.net mvc 4 application Step 2: Add HomeController. Co
ASP.NET 4.5.1 MVC5.0:系统角色与权限设置(续)- 用户管理与Controller实现
"ASP.NET 4.5.1 和 MVC 5.0 系统角色与权限设置教程的第二部分深入讲解了如何在 Web 应用程序中管理用户和角色。这部分内容主要关注控制器的设计,特别是`SystemUserController`类,它扩展了`Controller`基类以实现...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值