仅将ASP.NET MVC应用程序管理站点锁定到LocalHost

时间:2013-02-13 16:56:57

标签: c# asp.net asp.net-mvc security authentication

我有一个ASP.NET MVC网站,我想添加一个小的管理页面。我遇到的问题是我将全部部署这个,我将不会提供SSL。我可以要求管理员使用远程桌面并使用本地浏览器来执行管理。

可以这样做吗?我基本上希望获得与<customeErrors mode="RemoteOnly" />相同的行为,除了我的管理页面。我可以通过web.config这样做吗?

2 个答案:

答案 0 :(得分:12)

Request.IsLocal是你的朋友。

http://msdn.microsoft.com/en-us/library/system.web.httprequest.islocal.aspx

您可以使用它来检查请求是否来自本地计算机。

自定义属性

然后,您可以将其扩展为自定义属性,但这可能有点过分。如果这是您选择的路线,这是一个很好的例子,可以做类似的事情:

Custom Attributes on ActionResult

MVC3以后允许您在Controller级别设置属性,而不是Method也是如此,因此您可以锁定对负责管理页面的整个控制器的访问。

答案 1 :(得分:8)

我是通过编写自定义属性来完成的,如下所示:

public class IsLocalAttribute : AuthorizeAttribute
{
    public bool ThrowSecurityException { get; set; }

    protected override bool AuthorizeCore(HttpContextBase httpContext)
    {
        var isLocal = httpContext.Request.IsLocal;
        if (!isLocal && ThrowSecurityException)
            throw new SecurityException();
        return isLocal;
    }
}

整个控制器的基本用法:

[IsLocal]
public class LocalOnlyController : Controller
{
    public ActionResult Index()
    {
        return View();
    }
}

或采用特定方法:

public class SomeController : Controller
{
    [IsLocal]
    public ActionResult LocalOnlyMethod()
    {
        return View();
    }
}

如果您想抛出安全异常而不是302重定向:

public class SomeController : Controller
{
    [IsLocal(ThrowSecurityException = true)]
    public ActionResult LocalOnlyMethod()
    {
        return View();
    }
}