在登录模块中管理访问规则时。最后是否明确拒绝所有人?
假设我有两个角色:Administrator和Member
允许管理员进入文件夹iPhone,并允许成员加入文件夹Blackberry
我管理我的规则并在每个web.config中获取以下代码:
"iPhone"
<system.web>
<authorization>
<allow roles="Administrator" />
</authorization>
</system.web>
"Blackberry"
<system.web>
<authorization>
<allow roles="Member" />
</authorization>
</system.web>
但管理员可以访问Blackberry文件夹和成员iPhone文件夹吗?或者我是否需要在Blackberry文件夹中添加一条规则deny roles="Administrator",在iPhone文件夹中添加deny roles="Member"?
谢谢!
答案 0 :(得分:1)
我认为你的意思是使用ASP.net应用程序......
添加一个:
<deny users="*">
在您的授权用户之后。
我认为你也应该使用user而不是role
http://msdn.microsoft.com/en-us/library/wce3kxhd.aspx
创建新的Web应用程序时,所有web.config设置(全局,站点和本地)将合并在一起,以形成对此应用程序真正有效的配置。默认情况下,本地web.config不包含授权部分,但继承全局定义的部分。所以你总是最后得到一个条目。
http://www.leastprivilege.com/ASPNETAuthorizationSettings.aspx