我知道我可以使用web.config中的授权标记来限制对ASP.NET MVC 3应用程序的访问
<authentication mode="Windows"></authentication>
<roleManager enabled="true" defaultProvider="AspNetWindowsTokenRoleProvider" />
<authorization>
<allow roles="MyDomain\MyGroup" />
<deny users="*" />
<deny users="?" />
</authorization>
或使用[Authorize()]属性(甚至使用自定义Authorize属性)装饰控制器基类
[AdminOnly]
public class BaseController : Controller{}
问题是:他们是替代方法和等效方法吗?我应该总是使用一种方法而不是另一种方法吗?我应该记住哪些元素?
答案 0 :(得分:10)
我知道我可以使用web.config中的授权标记来限制对ASP.NET MVC 3应用程序的访问
不,不要在ASP.NET MVC中使用它。
问题是:他们是替代方法和等效方法吗?
不,他们不是替代品。您不应该在ASP.NET MVC应用程序中使用web.config中的<authorization>标记,因为它基于路径,而MVC使用控制器操作和路由。在ASP.NET MVC中进行授权的正确方法是使用[Authorize]属性。