Как перенаправить на динамический URL-адрес входа в ASP.NET MVC - PullRequest
Новая
       25

Как перенаправить на динамический URL-адрес входа в ASP.NET MVC

93 голосов
/ 10 декабря 2008

Я создаю мультитенантный веб-сайт, на котором размещаются страницы для клиентов. Первый сегмент URL будет строкой, идентифицирующей клиента, определенной в Global.asax с использованием следующей схемы маршрутизации URL: 

"{client}/{controller}/{action}/{id}"

Это прекрасно работает с URL-адресами, такими как /foo/Home/Index.

Однако при использовании атрибута [Authorize] я хочу перенаправить на страницу входа, которая также использует ту же схему сопоставления. Поэтому, если клиент foo, страница входа будет выглядеть так: / foo / Account / Login вместо фиксированного перенаправления / Account / Login, определенного в web.config.

MVC использует HttpUnauthorizedResult для возврата неавторизованного статуса 401, который, как я предполагаю, заставляет ASP.NET перенаправлять на страницу, определенную в web.config.

Так кто-нибудь знает, как переопределить поведение перенаправления входа в ASP.NET? Или лучше перенаправить в MVC, создав собственный атрибут авторизации?

РЕДАКТИРОВАТЬ - Ответ: после некоторого поиска в источнике .Net я решил, что лучшим решением является пользовательский атрибут аутентификации: 

public class ClientAuthorizeAttribute: AuthorizeAttribute
{
    public override void OnAuthorization( AuthorizationContext filterContext )
    {
        base.OnAuthorization( filterContext );

        if (filterContext.Cancel && filterContext.Result is HttpUnauthorizedResult )
        {
            filterContext.Result = new RedirectToRouteResult(
                new RouteValueDictionary
                {
                    { "client", filterContext.RouteData.Values[ "client" ] },
                    { "controller", "Account" },
                    { "action", "Login" },
                    { "ReturnUrl", filterContext.HttpContext.Request.RawUrl }
                });
        }
    }
}

Ответы [ 4 ]

40 голосов
/ 08 июля 2009

В RTM-версии ASP.NET MVC свойство Cancel отсутствует. Этот код работает с ASP.NET MVC RTM: 

using System;
using System.Web;
using System.Web.Mvc;
using System.Web.Mvc.Resources;

namespace ePegasus.Web.ActionFilters
{
    public class CustomAuthorize : AuthorizeAttribute
    {
        public override void OnAuthorization(AuthorizationContext filterContext)
        {
            base.OnAuthorization(filterContext);
            if (filterContext.Result is HttpUnauthorizedResult)
            {
                filterContext.Result = new RedirectToRouteResult(
                    new System.Web.Routing.RouteValueDictionary
                        {
                                { "langCode", filterContext.RouteData.Values[ "langCode" ] },
                                { "controller", "Account" },
                                { "action", "Login" },
                                { "ReturnUrl", filterContext.HttpContext.Request.RawUrl }
                        });
            }
        }
    }
}

Редактировать: Возможно, вы захотите отключить аутентификацию форм по умолчанию loginUrl в web.config - в случае, если кто-то забудет, что у вас есть пользовательский атрибут, и по ошибке использует встроенный атрибут [Authorize].

Изменить значение в web.config: 

 <forms loginUrl="~/Account/ERROR" timeout="2880" />

Затем создайте метод действия «ОШИБКА», который регистрирует ошибку и перенаправляет пользователя на самую общую страницу входа в систему.

30 голосов
/ 11 декабря 2008

Я думаю, что основная проблема заключается в том, что если вы собираетесь использовать встроенный класс ASP.NET FormsAuthentication (и нет веской причины, по которому вы не должны этого делать), то в конце концов что-то вызовет FormsAuthentication.RedirectToLoginPage(), который будет смотреть на один настроенный URL. Когда-либо был только один URL для входа в систему, и именно так они и разработали.

Моя проблема в этой проблеме (возможно, в реализации Rube Goldberg) состояла в том, чтобы позволить ей перенаправить ее на одну страницу входа в систему в корне, доступную для всех клиентов, например, / account / login. Эта страница входа не будет отображать ничего; он проверяет либо параметр ReturnUrl, либо какое-либо значение, полученное мной в сеансе, или файл cookie, который идентифицирует клиента, и использует его для немедленного перенаправления 302 на конкретную страницу / client / account / login. Это дополнительная переадресация, но, вероятно, она не заметна и позволяет использовать встроенные механизмы перенаправления.

Другой вариант - создать собственный настраиваемый атрибут, как вы описываете, и избегать всего, что вызывает метод RedirectToLoginPage() в классе FormsAuthentication, поскольку вы замените его своей собственной логикой перенаправления. (Вы можете создать свой собственный класс, который похож на этот.) Поскольку это статический класс, я не знаю ни одного механизма, с помощью которого вы могли бы просто внедрить свой собственный альтернативный интерфейс и заставить его волшебным образом работать с существующим атрибутом [Authorize], который удары, но люди делали подобные вещи до .

Надеюсь, это поможет!

2 голосов
/ 16 июля 2010

Мое решение этой проблемы было пользовательским ActionResult классом: 

    sealed public class RequiresLoginResult : ActionResult
    {
        override public void ExecuteResult (ControllerContext context)
        {
            var response = context.HttpContext.Response;

            var url = FormsAuthentication.LoginUrl;
            if (!string.IsNullOrWhiteSpace (url))
                url += "?returnUrl=" + HttpUtility.UrlEncode (ReturnUrl);

            response.Clear ();
            response.StatusCode = 302;
            response.RedirectLocation = url;
        }

        public RequiresLoginResult (string returnUrl = null)
        {
            ReturnUrl = returnUrl;
        }

        string ReturnUrl { get; set; }
    }
0 голосов
/ 08 февраля 2019

Тем не менее, если кто-то решит использовать встроенную проверку подлинности FormsAuthentication ASP.NET, можно переопределить Application_AuthenticateRequest в Global.asax.cs следующим образом: 

protected void Application_AuthenticateRequest(object sender, EventArgs e)
{
    string url = Request.RawUrl;

    if (url.Contains(("Account/Login"))
    {
        return;
    }

    if (Context.User == null)
    {
        // Your custom tenant-aware logic
        if (url.StartsWith("/foo"))
        {
            // Your custom login page.
            Response.Redirect("/foo/Account/Login");
            Response.End();
            return;
        }
    }
}
...