ASP.NET + IIS6:通过web.config中的授权部分将用户列入白名单

时间:2009-09-18 18:51:27

标签: asp.net security iis-6 web-config authorization

考虑网站下的IIS6应用程序:

  • 启用了Windows身份验证。
  • 匿名关闭

这是一个带有Areas的ASP.NET MVC应用程序。根web.config具有身份验证和授权节点,如下所示:

<authentication mode="Windows"></authentication>

<authorization> 
    <allow users="domain\abc, domain\xyz, domain\foo, domain\bar"/>   
</authorization>

我的身份不在允许的用户列表中。在浏览器中输入URL,我可以查看并导航到其中的所有页面。我知道我的授权正常,因为我的Active Directory名称显示在网站上。

问题:我可以访问该网站。

问题:使用web.config,如何根据用户的Windows凭据限制用户使用此IIS6应用程序?

2 个答案:

答案 0 :(得分:4)

试试这个:

<authorization> 
    <allow users="domain\abc, domain\xyz, domain\foo, domain\bar"/>   
    <deny users="*"/>
</authorization>

答案 1 :(得分:2)

如何在允许部分后添加拒绝部分?

<deny users="*" />
相关问题
最新问题