javascript

java

python

c#

android

c++

node.js

php

reactjs

jquery

html

css

ios

.net

git

ruby-on-rails

sql

c

string

ruby

CodeGo.net> ASP.NET MVC-如何在登录页面上显示未经授权的错误?

在我的ASP.NET MVC应用中,大多数控制器都装饰有

[Authorize(Roles="SomeGroup")]

当用户无权访问某项内容时,他们将被发送到“〜/登录”,这是我的帐户控制器上的“登录”操作。

如何确定用户由于未获得授权而已进入登录页面,以便显示适当的错误?

trans by 2020-07-05T10:43:09Z

ASP.NET MVC-角色提供者的替代选择?

我试图避免使用角色提供程序和成员资格提供程序,因为我认为这太笨拙了,因此,我试图制作自己的“版本”,该版本不那么笨拙,更易于管理/灵活。 现在是我的问题..是否有替代体面的角色提供商? (我知道我可以做自定义角色提供者,成员资格提供者等)

通过更易于管理/灵活,我的意思是我仅限于使用Roles静态类,而不是直接在与数据库上下文进行交互的服务层中实现,而是必须使用具有自己的数据库上下文的Roles静态类 等等,表名也很糟糕。

提前致谢。

trans by 2020-06-25T23:45:35Z

jsf 2-如何在JSF中实现登录过滤器?

我想阻止某些页面的访问,即使用户知道某些页面的URL。例如,如果未登录,则为/localhost:8080/user/home.xhtml(需要先登录),然后重定向到/index.xhtml

在JSF中如何? 我在Google上阅读了需要过滤器的信息,但我不知道该怎么做。

trans by 2020-06-16T20:56:51Z

oauth-多个HTTP授权标头?

HTTP消息中可以包含多个授权标头吗? 具体来说,我想包含一种Bearer令牌类型(传递OAuth访问令牌)和一种Basic类型(传递base64编码的username:password)。

GET /presence/alice HTTP/1.1 
Host: server.example.com
Authorization: Bearer mF_9.B5f-4.1JqM
Authorization: Basic YXNkZnNhZGZzYWRmOlZLdDVOMVhk

我认为没有理由这样做是不可能的,只是想与社区进行审查以确保。

trans by 2020-02-22T09:30:02Z

如何在PHP cu中使用基本授权

我在使用基本授权的PHP curl请求时遇到问题。

这是命令行curl:

curl -H "Accept: application/product+xml" "https://{id}:{api_key}@api.domain.com/products?limit=1&offset=0"

我已经尝试通过以下方式设置curl标头,但无法正常工作

Authorization: Basic id:api_key
or 
Authorization: Basic {id}:{api_key}

我收到响应“请求中的身份验证参数丢失或无效”,但我使用了在命令行curl中有效的ID和api_key(已测试)

请帮我。

trans by 2020-02-21T14:10:18Z

java-如何从Android调用RESTful Web服务?

我已经使用Jersey Framework和Java在Netbean IDE中编写了REST Web服务。

对于用户需要提供的用户名和密码的每个请求,我知道这种身份验证不是最佳实践(使用curl命令,例如:DefaultHttpClient)。

现在,我想从Android类调用REST Web服务。

我该怎么办?

我有一个使用DefaultHttpClientCredentialUsernameAndPassword的Android类,但是当我在Eclipse中运行它时,有时会遇到运行时异常或SDK异常。

trans by 2020-02-10T18:14:45Z

首页> C#>如何使授权属性返回自定义403错误页面,而不是重定向到登录页面

[Authorize]属性是MS发明的好帮手,我希望它可以解决我现在遇到的问题

更加具体:

当当前客户端未通过身份验证时-[Authorize]从安全操作重定向到登录页面,并且登录成功后-将用户带回,这很好。

但是,如果当前的客户端已经通过身份验证但未获得运行特定操作的权限-我需要的只是显示我的一般403页面。

是否可以在控制器的内部不移动授权逻辑?

更新:我需要的行为在语义上应与此草图相同:

public ActionResult DoWork()
{
    if (!NotAuthorized())
    {
        // this should be not redirect, but forwarding 
        return RedirectToAction("403");         
    }

    return View();
}

因此-不应有任何重定向,并且url应该保持不变,但该页面的内容应替换为403-page

更新2:我以这种方式实现了草图:

[HandleError]
public class HomeController : Controller
{
    public ActionResult Index()
    {
        ViewData["Message"] = "Welcome to ASP.NET MVC!";

        return View();
    }

    [CustomActionFilter]
    public ActionResult About()
    {
        return View();
    }

    public ActionResult Error_403()
    {
        return Content("403");
    }
}

public class CustomActionFilter : ActionFilterAttribute
{
    public override void OnActionExecuting(ActionExecutingContext filterContext)
    {
        filterContext.Result = new ContentResult { Content = "403" };
    }
}

而且无法获取如何正确地将执行转发到HomeController.Action_403(),因此它显示403。

更新3:

filterContext.Result = new ViewResult() { ViewName = "Error_403" };

所以这是关于如何呈现特定视图模板的答案...但是仍然不知道如何运行另一个控制器-无论如何,这已经足够了。

trans by 2020-01-23T18:52:45Z

授权-如何通过Google Drive API使用刷新令牌生成访问令牌?

我已完成授权步骤,并获得了访问令牌和刷新令牌。

接下来,我该如何使用通过Google Drive API存储的刷新令牌来生成访问令牌?

由于我在Force.com上工作,因此我将无法使用任何sdk,因此请提出直接通过API实施它的方法。

trans by 2020-01-20T23:14:49Z

Java-Google Cloud Endpoints限制...有没有建议的解决方案?

我是否正确认为Cloud Endpoints的优点具有以下限制:

  1. REST Api无法部署到自定义域(它将保留在appspot.com上)。
  2. 支持的唯一身份验证是针对Google帐户的OAuth。
    1. 推论:目前无法创建与Google帐户无关的用户登录/会话跟踪机制(例如,以电子邮件作为用户名和密码)。

有没有计划消除这些限制,如果是,那么什么是ETA?

trans by 2020-01-16T14:14:46Z

api-如何在Swagger UI中发送带有请求的自定义标头?

我在API中有一些终结点-Authorization/products

在Swagger用户界面中,我将Authorization/products发布到/user/login,作为响应,我收到了token字符串。

然后,我可以从响应中复制令牌,并希望将其用作请求中所有URL的请求中的Authorization标头值,并作为示例使用到/products

我应该在Swagger UI页面上的某个位置手动创建文本输入,然后将令牌放在那里并以某种方式注入请求中,还是有工具以更好的方式对其进行管理?

trans by 2020-01-13T11:21:51Z

ASP.NET MVC表单身份验证+授权属性+简单角色

我试图将简单的身份验证和授权添加到ASP.NET MVC应用程序。

我只是想在基本表单身份验证上增加一些功能(由于简单性和自定义数据库结构)

假设这是我的数据库结构:用户:   用户名   密码   角色(最好是一些枚举。如果需要,则为字符串。当前,用户仅具有一个角色,但这可能会改变)

高级问题:鉴于以上数据库结构,我希望能够执行以下操作:

  • 使用表单身份验证进行简单登录
  • 用以下方法装饰我的动作:[Authorize(Roles = {MyRoles.Admin,MyRoles.Member})]
  • 在“视图”中使用角色(确定要在部分视图中显示的链接)

目前,我真正确定的只是如何进行身份验证。 之后,我迷路了。 我不确定要在何时获取用户角色(登录,是否具有每个授权?)。 由于我的角色可能不是字符串,所以我不确定它们如何与User.IsInRole()配合。

现在,我在这里问是因为我没有找到一个“简单”的方法来完成我所需要的。 我看过多个例子。

对于身份验证:

  • 我们有简单的用户验证,用于检查数据库和“ SetAuthCookie”
  • 或者,我们重写成员资格提供程序,并在ValidateUser中执行此操作无论哪种方式,我都不知道如何使用简单的用户角色,以便它们与以下各项一起使用:HttpContext.Current.User.IsInRole(“管理员”)此外,我不确定如何修改此值以使用我的枚举值。

对于授权,我已经看到:

  • 派生AuthorizeAttribute并实现AuthorizeCore或OnAuthorization来处理角色?
  • 实施IPrincipal?

任何帮助将不胜感激。 但是,我担心我可能需要很多细节,因为我搜索过的所有内容似乎都不适合我需要做的事情。

trans by 2020-01-04T06:23:27Z

asp.net mvc-扩展AuthorizeAttribute重写AuthorizeCore或OnAuthorization

使用ASP.NET MVC,我正在创建一个自定义Authorize属性,以处理一些自定义授权逻辑。 我看了很多示例,这很简单,但是我的问题是,最好重写哪种方法,AuthorizeCore或OnAuthorization? 我已经看到了很多例子可以压倒另一个。 有区别吗?

trans by 2020-01-02T21:20:06Z

如何在ASP.NET MVC中为整个区域设置授权?

我有一个“管理员”区域,我只希望“管理员”进入该区域。 我考虑过将“授权”属性添加到“管理”区域中的每个控制器。 是不是有一个优雅的解决方案,或者框架本身没有这个功能?

编辑:抱歉,我之前应该提到这一点。 我正在使用从AuthorizeAttribute派生的自定义AuthorizedAttribute。

trans by 2020-01-01T18:50:00Z

.net-在自定义授权MVC4 Web Api中访问发布或获取参数

是否可以通过HttpActionContext对象访问post或获取参数?

我有一组传感器,可将数据记录到提供REST API的Web服务器上。 我想通过让传感器在数据中包含其硬件ID,然后在数据库中查找ID是否存在来介绍某种身份验证/授权。 由于API提供了许多Web api操作方法,因此理想情况下,我想使用自定义授权属性

public class ApiAuthorizationFilter : AuthorizeAttribute
{
    protected override bool IsAuthorized(HttpActionContext actionContext)
    {
        return false;
    }
}

如何从actionContext访问发布/获取数据?

编辑:POST示例

POST /Api/api/ActionMethod/ HTTP/1.1\r\n
Content-Type: application/json\r\n
Host: localhost\r\n
Accept: */*\r\n
Content-Length:52\r\n
\r\n
{"Id": '121a222bc', "Time": '2012-02-02 12:00:00'}\r\n

祝你今天愉快!

trans by 2019-11-11T13:15:52Z

apache2-Django rest_framework中缺少授权标头,是否应该责怪apache?

我设法扩展了TokenAuthentication,并在使用请求会话存储令牌时使用了一个工作模型,但是,当我尝试按此处所述将Authorization作为标头参数传递时,我注意到我的响应没有META变量HTTP_AUTHORIZATION而返回 。 我还注意到,如果我将“ Authorization2”作为标头参数传递,则它在请求中可见:

{
    '_content_type': '', 
    'accepted_media_type': 'application/json', 
    '_request': <WSGIRequest
        path:/api/test_auth/,
        GET:<QueryDict: {}>,
        POST:<QueryDict: {}>,
        COOKIES:{
            'MOD_AUTH_CAS_S': 'ba90237b5b6a15017f8ca1d5ef0b95c1',
            'csrftoken': 'VswgfoOGHQmbWpCXksGUycj94XlwBwMh',
            'sessionid': 'de1f3a8eee48730dd34f6b4d41caa210'
        },
        META:{
           'DOCUMENT_ROOT': '/etc/apache2/htdocs',
           'GATEWAY_INTERFACE': 'CGI/1.1',
           'HTTPS': '1',
           'HTTP_ACCEPT': '*/*',
           'HTTP_ACCEPT_CHARSET': 'ISO-8859-1,utf-8;q=0.7,*;q=0.3',
           'HTTP_ACCEPT_ENCODING': 'gzip,deflate,sdch',
           'HTTP_ACCEPT_LANGUAGE': 'en-US,en;q=0.8',
           'HTTP_AUTHORIZATION2': 'Token 9944b09199c62bcf9418ad846dd0e4bbdfc6ee4c',
           ...

我的第一个猜测是apache正在删除授权标头,并且我读过一些S / O问题,指出如果apache与基本授权和身份验证不匹配,它将抛出该值,但是我不知道如何 允许Authorization标头“传递”给Django和WSGIRequest。 有谁知道如何解决这个问题?

我也使用mod_auth_cas和mod_proxy,如果那改变了。

trans by 2019-11-08T14:23:55Z

用户界面-应该隐藏,禁用UI中未经授权的操作,还是导致错误?

对我来说,这是一个长期存在的问题,我从未真正解决过,因此我希望您的意见。 如果我知道由于权限或对象状态不足而导致用户无法执行操作,这些操作的UI元素是否应该向用户隐藏,可见但被禁用或可见,并且在尝试操作时导致错误? 您回答的依据是什么? 如果被禁用,您能否说明原因?

这是一个Web界面,因此我已经知道我需要检查传入的帖子/获取权限并无论如何都要处理错误。 我主要是在谈论如何处理UI。

这与关于禁用或隐藏菜单项的规则相似,尽管我对所有类型的UI元素(不仅是菜单)都感兴趣。

例子:

  1. 我有一个允许用户创建新事件的新页面。 事件可以是主事件或子事件。 创建主事件需要“ EditMasterEvent”特权,而创建子事件仅需要“ EditEvent”特权。 我有一个下拉菜单,允许您选择一个现有事件作为父事件(主事件)或不选择父事件(这是一个主事件)。 如果用户仅具有“ EditEvent”特权,则应在下拉菜单中显示“创建主事件”选项,还是应将其省略。

  2. 删除事件要求您是应用程序管理员或具有事件类型的适当编辑权限。 在后一种情况下,事件还必须超过5年。 删除事件会导致系统中相关数据的主要级联删除,并且出于法律原因,该数据必须在事件发生后至少保留5年。 由于此操作对于普通用户而言很少见,因此典型的情况是该操作不可用。 应该始终显示还是仅在实际可能的情况下显示?

trans by 2019-11-07T11:31:12Z

身份验证-MongoDB“ root”我们

MongoDB是否有超级UNIX之类的“ root”用户? 我一直在看[http://docs.mongodb.org/manual/reference/user-privileges/],并尝试了许多组合,但是它们似乎都缺少某个区域或另一个区域。 当然,在上面列出的所有角色中,首先要有一个角色。

trans by 2019-10-24T01:56:52Z

身份验证-MongoDB“ root”我们

MongoDB是否有超级UNIX之类的“ root”用户? 我一直在看[http://docs.mongodb.org/manual/reference/user-privileges/],并尝试了许多组合,但是它们似乎都缺少某个区域或另一个区域。 当然,在上面列出的所有角色中,首先要有一个角色。

trans by 2019-10-14T01:39:09Z

.net-ASP.NET MVC中的用户身份验证和授权

在ASP.NET MVC中进行用户授权/身份验证的最佳方法是什么?

我看到确实有两种方法:

  • 使用内置的ASP.NET授权系统。
  • 使用具有我自己的用户,权限,用户组表等的自定义系统。

我更喜欢第二种选择,因为用户是我的域模型的一部分(我对ASP.NET的内置知识零经验),但是我真的很想听听人们在这方面所做的事情。

trans by 2019-10-10T01:14:20Z

c#-通过ASP.NET MVC B中的IP地址限制对特定控制器的访问

我有一个包含AdminController类的ASP.NET MVC项目,并给了我类似这些的URls:

[http://example.com/admin/AddCustomer]

[http://examle.com/Admin/ListCustomers]

我想配置服务器/应用程序,以便只能从192.168.0.0/24网络(即我们的LAN)访问包含/ Admin的URI。

我想限制此控制器只能从某些IP地址访问。

在WebForms下,/ admin /是我可以在IIS中限制的物理文件夹...但是对于MVC,当然没有物理文件夹。 使用web.config或属性可以实现此目的,还是需要拦截HTTP请求才能实现此目的?

trans by 2019-10-08T02:25:10Z

1 2 3 下一页 共3页