我正在构建一个ASP.NET 3.5 Web应用程序,我没有使用成员资格提供程序来提高安全性。在应用程序中,我有一个名为Admin的角色,该角色的所有文件都在项目的Security文件夹中。目前,对于安全文件夹中的所有页面,我正在检查登录用户的角色是否为管理员。这对我来说似乎非常多余,可以做类似“如果用户请求安全文件夹中的页面然后检查他的角色”。这可能吗?
答案 0 :(得分:2)
您可以在Security文件夹中放置一个单独的web.config文件,如果该用户不在Admin角色中,该文件将拒绝访问该文件夹的每个请求。
它基本上会是这样的:
<location path="Security">
<system.web>
<authorization>
<allow roles="Admin"/>
<deny users="*"/>
</authorization>
</system.web>
</location>