Как заставить атрибут Authorize возвращать пользовательскую страницу ошибки 403 вместо перенаправления на страницу входа

Question

[Authorize] атрибут - хорошее и удобное изобретение MS, и я надеюсь, что он может решить проблемы, которые у меня есть сейчас

Чтобы быть более конкретным:

Если текущий клиент не аутентифицирован - [Authorize] перенаправляет с защищенного действия на страницу входа, а после успешного входа - возвращает пользователя, это хорошо.

Но когда текущий клиент уже аутентифицирован, но не авторизован для выполнения определенного действия - все, что мне нужно, это просто отобразить мою общую страницу 403.

Возможно ли это без перемещения логики авторизации в теле контроллера?

Обновление : Поведение, в котором я нуждаюсь, должно быть семантически равным этому эскизу:

public ActionResult DoWork()
{
    if (!NotAuthorized())
    {
        // this should be not redirect, but forwarding 
        return RedirectToAction("403");         
    }

    return View();
}

так - никакого перенаправления не должно быть, и URL-адрес должен оставаться прежним, но содержимое страницы должно быть заменено на 403 страницы

Обновление 2 : я реализовал эскиз следующим образом:

[HandleError]
public class HomeController : Controller
{
    public ActionResult Index()
    {
        ViewData["Message"] = "Welcome to ASP.NET MVC!";

        return View();
    }

    [CustomActionFilter]
    public ActionResult About()
    {
        return View();
    }

    public ActionResult Error_403()
    {
        return Content("403");
    }
}

public class CustomActionFilter : ActionFilterAttribute
{
    public override void OnActionExecuting(ActionExecutingContext filterContext)
    {
        filterContext.Result = new ContentResult { Content = "403" };
    }
}

И не могу понять, как правильно перенаправить выполнение в HomeController.Action_403 (), чтобы оно отображало 403.

Обновление 3 :

filterContext.Result = new ViewResult() { ViewName = "Error_403" };

так что это ответ о том, как визуализировать определенный шаблон представления ... но все еще не знаю, как запустить другой контроллер - в любом случае, это достаточно хорошее решение.

Answer 1

Я бы сделал подкласс AuthorizeAttribute и переопределил его HandleUnauthorizedRequest для возврата HTTP-кода состояния 403, если пользователь прошел проверку подлинности . Затем я хотел бы добавить раздел system.webServer \ httpErrors в свой Web.Config, чтобы заменить стандартную страницу 403 моей пользовательской страницей (для этой последней части требуется IIS 7+). Вот как:

public class MyAuthorizeAttribute : AuthorizeAttribute {
    protected override void HandleUnauthorizedRequest(AuthorizationContext filterContext) {
        if (filterContext.HttpContext.User.Identity.IsAuthenticated)
            filterContext.Result = new HttpStatusCodeResult(403);
        else
            filterContext.Result = new HttpUnauthorizedResult();
    } 
}

<configuration>
  <system.webServer>
    <httpErrors errorMode="Custom" existingResponse="Replace">
      <remove statusCode="403" />
      <error statusCode="403" responseMode="ExecuteURL" path="/Error/MyCustom403page" />
    </httpErrors>
  </system.webServer>
</configuration>

Answer 2

Вы должны иметь возможность создать свой собственный класс, производный от AuthorizeAttribute и переопределить метод AuthorizeCore, чтобы предоставить необходимый механизм авторизации, чтобы вы могли примените свой собственный код авторизации, используя атрибут вместо перемещения его в контроллер.

Если вам требуется более детальный контроль над авторизацией, я рекомендую вам создать реализацию интерфейса IActionFilter (для атрибута, а затем применить атрибут к вашим методам). Это позволит вам перехватывать вызовы до того, как они поступят в контроллер, и предоставлять альтернативные действия до вызова вашего метода контроллера.

Это достигается путем реализации метода OnActionExecuting на интерфейсе IActionFilter. Если ваша логика определяет, что вам вообще не следует обращаться к контроллеру и вы хотите вместо этого предоставить ActionResult для обработки, тогда вы должны установить свойство Result в экземпляре ActionExecutingContext, переданном в метод. При этом обрабатывается ActionResult вместо перехода к методу контроллера для получения ActionResult.

Если вы хотите вернуть код ошибки 403, вы не можете использовать класс ContentResult. Вам нужно будет создать свой собственный класс, производный от ActionResult и переопределить метод ExecuteResult, чтобы задать свойство StatusCode для HttpResponseBase до 403, вот так:

internal class Http403Result : ActionResult
{
    public override void ExecuteResult(ControllerContext context)
    {
        // Set the response code to 403.
        context.HttpContext.Response.StatusCode = 403;
    }
}

public class CustomActionFilter : ActionFilterAttribute
{
    public override void OnActionExecuting(ActionExecutingContext filterContext)
    {
        filterContext.Result = new Http403Result();
    }
}

Конечно, вы можете обобщить класс Http403Result, чтобы получить конструктор, который примет код состояния, который вы хотите вернуть, но концепция остается той же.