Question

问题：每当普通用户尝试访问只能由管理员访问的页面时，用户总是被重定向到登录而不是访问被拒绝页面。

问题：普通用户如何在用户访问受限页面时看到访问被拒绝页面？

控制器：

[Authorize(Roles = "Administrator")]
public class AdminOnlyController: Controller{

}

Startup.cs

app.UseIdentity();

app.UseCookieAuthentication(new CookieAuthenticationOptions()
{
            AuthenticationScheme = "FirstCookieAuthentication",
            AutomaticAuthenticate = true,
            AutomaticChallenge = true,
            AccessDeniedPath = new PathString("/Forbidden/"),
            LoginPath = new PathString("/Conotroller/Login"),
});

Answer 1

拒绝访问只是一个状态代码，如未找到，内部错误等。要管理状态代码，您可以使用中间件“app.UseStatusCodePages”。

代码：

if (env.IsDevelopment())
{
//       see something more here
}
else
{
        app.UseStatusCodePagesWithReExecute("/StatusCode/{0}");
}

然后在StatusCodeController中，构建一个与你提供的路由匹配的动作结果，例如：

    [HttpGet("/StatusCode/{statusCode}")]
    public IActionResult Index(int statusCode)
    {
        string statusmessage = "";
        switch (statusCode)
        {
            case 400:
                statusmessage = "Bad request: The request cannot be fulfilled due to bad syntax";
                break;
            case 403:
                statusmessage = "Forbidden";
                break;
//all codes here...
            default:
                statusmessage = "That’s odd... Something we didn't expect happened";
                break;
        }

        // return appropriate view 
        // or same view with different message, eg from ViewBag
    }

Answer 2

我所做的是创建了一个自定义属性，它实现了IActionFilter接口并继承了Attribute类。所以基本上我把我的代码放在On Action Executing Method中。但是，我还阅读了this关于不创建自定义属性的帖子。但我没有在评论部分阅读整个讨论。无论如何这适用于我的情况。

Asp Net核心授权

2 个答案: