asp.net mvc [Authorize()] attribut pour groupe mixte et utilisateur

Question

J'utilise ASP.NET MVC 1.1 avec l'authentification Windows. J'essaie d'autoriser seulement les membres d'un groupe et moi-même. Je ne suis pas membre du groupe et je n'aurais pas besoin d'être membre de ce groupe. J'obtiens l'invite de connexion/mot de passe de Windows chaque fois que j'accède à l'URL de l'application Web. Le HomeController a

[HandleError] 
[Authorize(Roles=@"MyDomain\\company.security.group.name")] 
[Authorize(Users=@"MyDoamin\\MyName")] 
[OutputCache(Duration=86400,VaryByParam="PageIndex")] 
public class HomeController : Controller 

Comment activer une telle autorisation? L'application Web s'exécute sous un site sur IIS6. Le site a la sécurité d'annuaire pour accepter anonyme. L'application Web/le répertoire virtuel est désactivé et la sécurité intégrée de Windows est activée. Le web.config a

Answer 1

Vous pouvez sous-type AuthorizeAttribute pour regarder Utilisateurs et Rôles. du haut de ma tête (non testé):

using System; 
using System.Linq; 
using System.Security.Principal; 
using System.Web; 
using System.Web.Mvc; 

public class MyAuthorizeAttribute : AuthorizeAttribute 
{ 
    // This method must be thread-safe since it is called by the thread-safe OnCacheAuthorization() method. 
    protected override bool AuthorizeCore(HttpContextBase httpContext) { 
     base.AuthorizeCore(httpContext); 

     if ((!string.IsNullOrEmpty(Users) && (_usersSplit.Length == 0)) || 
      (!string.IsNullOrEmpty(Roles) && (_rolesSplit.Length == 0))) 
     { 
      // wish base._usersSplit were protected instead of private... 
      InitializeSplits();     
     } 

     IPrincipal user = httpContext.User; 
     if (!user.Identity.IsAuthenticated) { 
      return false; 
     } 

     var userRequired = _usersSplit.Length > 0; 
     var userValid = userRequired 
      && _usersSplit.Contains(user.Identity.Name, StringComparer.OrdinalIgnoreCase); 

     var roleRequired = _rolesSplit.Length > 0; 
     var roleValid = (roleRequired) 
      && _rolesSplit.Any(user.IsInRole); 

     var userOrRoleRequired = userRequired || roleRequired; 

     return (!userOrRoleRequired) || userValid || roleValid; 
    } 

    private string[] _rolesSplit = new string[0]; 
    private string[] _usersSplit = new string[0]; 

    private void InitializeSplits() 
    { 
     lock(this) 
     { 
      if ((_rolesSplit.Length == 0) || (_usersSplit.Length == 0)) 
      { 
       _rolesSplit = Roles.Split(','); 
       _usersSplit = Users.Split(','); 
      } 
     } 
    } 
} 

Answer 2

Comme vous préfixant votre domaine/utilisateur et les chaînes domaine/groupe avec le caractère « @ » vous ne devez échapper à la barre oblique inverse. Vous pouvez essayer de remplacer ces lignes soit:

[Authorize(Roles="MyDomain\\company.security.group.name")] 
[Authorize(Users="MyDoamin\\MyName")] 

ou

[Authorize(Roles=@"MyDomain\company.security.group.name")] 
[Authorize(Users=@"MyDoamin\MyName")] 

Un peu de lecture plus a également révélé que le filtre Autorisez effectuera une vérification « utilisateurs » et « rôles ». Si l'utilisateur ne répond pas aux deux exigences, l'accès lui sera refusé.
Pour obtenir le comportement souhaité, vous devez écrire un filtre d'autorisation personnalisé comme suggéré dans une réponse précédente.