我正在使用带有MySQL的asp.net mvc开发一个网站,我需要为用户更新网站中的一些信息创建一个简单的限制区域。所以,我在mvc应用程序中创建了一个名为“Admin”的区域,我知道如何使用Forms身份验证和Autorize属性来保护它!它工作正常,但在我的区域的每个控制器中,我必须设置Autorize属性以保护它们。有没有办法保护Web.config中的所有区域?我怎么能这样做?
由于
干杯
答案 0 :(得分:5)
您不得在MVC应用程序中使用基于Web.config位置的授权。这样做会导致您网站出现安全漏洞。
获取您正在寻找的行为的最简单方法是让AdminBaseController上有[Authorize]属性,然后让Admin区域中的每个控制器直接子类化此类型。该属性将从基类型流向子类型。
答案 1 :(得分:0)
您想要使用Web.config,但您可以使用PostSharp(面向方面的框架)为方法注入属性。