我正在创建一个多租户网站,为客户端托管页面。 URL的第一部分将是一个字符串,用于标识客户端,使用以下URL路由方案在Global.asax中定义:
"{client}/{controller}/{action}/{id}"
这样可以使用/ foo / Home / Index等网址。
但是,当使用[Authorize]属性时,我想重定向到也使用相同映射方案的登录页面。因此,如果客户端是foo,则登录页面将是/ foo / Account / Login,而不是web.config中定义的固定/帐户/登录重定向。
MVC使用HttpUnauthorizedResult返回401未授权状态,我认为这会导致ASP.NET重定向到web.config中定义的页面。
那么有谁知道如何覆盖ASP.NET登录重定向行为?或者通过创建自定义授权属性在MVC中重定向会更好吗?
编辑 - 答案:在深入研究.Net源代码后,我认为自定义身份验证属性是最佳解决方案:
public class ClientAuthorizeAttribute: AuthorizeAttribute
{
public override void OnAuthorization( AuthorizationContext filterContext )
{
base.OnAuthorization( filterContext );
if (filterContext.Cancel && filterContext.Result is HttpUnauthorizedResult )
{
filterContext.Result = new RedirectToRouteResult(
new RouteValueDictionary
{
{ "client", filterContext.RouteData.Values[ "client" ] },
{ "controller", "Account" },
{ "action", "Login" },
{ "ReturnUrl", filterContext.HttpContext.Request.RawUrl }
});
}
}
}
答案 0 :(得分:40)
在ASP.NET MVC的RTM版本中,缺少Cancel属性。此代码适用于ASP.NET MVC RTM:
using System;
using System.Web;
using System.Web.Mvc;
using System.Web.Mvc.Resources;
namespace ePegasus.Web.ActionFilters
{
public class CustomAuthorize : AuthorizeAttribute
{
public override void OnAuthorization(AuthorizationContext filterContext)
{
base.OnAuthorization(filterContext);
if (filterContext.Result is HttpUnauthorizedResult)
{
filterContext.Result = new RedirectToRouteResult(
new System.Web.Routing.RouteValueDictionary
{
{ "langCode", filterContext.RouteData.Values[ "langCode" ] },
{ "controller", "Account" },
{ "action", "Login" },
{ "ReturnUrl", filterContext.HttpContext.Request.RawUrl }
});
}
}
}
}
编辑:您可能希望在web.config中禁用默认表单身份验证loginUrl - 以防有人忘记您拥有自定义属性并错误地使用内置的[Authorize]属性。
修改web.config中的值:
<forms loginUrl="~/Account/ERROR" timeout="2880" />
然后创建一个记录错误的操作方法'ERROR',并将用户重定向到您拥有的最通用的登录页面。
答案 1 :(得分:30)
我认为主要的问题是,如果你要搭载内置的ASP.NET FormsAuthentication类(并且没有充分的理由你不应该这样做),那么在一天结束时会发生一些事情。 FormsAuthentication.RedirectToLoginPage()将查看配置的URL。只有一个登录URL,这就是他们设计它的方式。
我对这个问题的猜测(可能是Rube Goldberg的实现)是让它重定向到所有客户共享的根目录下的单个登录页面,比如/ account / login。此登录页面实际上不会显示任何内容;它检查ReturnUrl参数或我在会话中获得的某个值,或检查标识客户端的cookie,并使用它来发出立即302重定向到特定/客户端/帐户/登录页面。这是一个额外的重定向,但可能不会引人注意,它允许您使用内置的重定向机制。
另一个选项是在您描述时创建自己的自定义属性,并避免在RedirectToLoginPage()类上调用FormsAuthentication方法的任何内容,因为您将使用自己的重定向逻辑替换它。 (你可以创建自己类似的类。)因为它是一个静态类,所以我不知道你可以通过什么机制注入自己的替代接口并让它神奇地使用现有的[Authorize]属性,打击,但是people have done similar things before。
希望有所帮助!
答案 2 :(得分:2)
我对此问题的解决方案是自定义ActionResult类:
sealed public class RequiresLoginResult : ActionResult
{
override public void ExecuteResult (ControllerContext context)
{
var response = context.HttpContext.Response;
var url = FormsAuthentication.LoginUrl;
if (!string.IsNullOrWhiteSpace (url))
url += "?returnUrl=" + HttpUtility.UrlEncode (ReturnUrl);
response.Clear ();
response.StatusCode = 302;
response.RedirectLocation = url;
}
public RequiresLoginResult (string returnUrl = null)
{
ReturnUrl = returnUrl;
}
string ReturnUrl { get; set; }
}
答案 3 :(得分:0)
尽管如此,如果决定使用内置的ASP.NET FormsAuthentication,则可以按如下所示覆盖Application_AuthenticateRequest中的Global.asax.cs:
protected void Application_AuthenticateRequest(object sender, EventArgs e)
{
string url = Request.RawUrl;
if (url.Contains(("Account/Login"))
{
return;
}
if (Context.User == null)
{
// Your custom tenant-aware logic
if (url.StartsWith("/foo"))
{
// Your custom login page.
Response.Redirect("/foo/Account/Login");
Response.End();
return;
}
}
}