Ограничить доступ к маршруту MVC в IIS

Question

Я бы хотел ограничить доступ к маршрутам на сайте MVC через IIS для сайта интрасети с использованием аутентификации Windows.

Мне известно, что это можно сделать с помощью атрибута Authorize на контроллере или в действии, но я бы предпочел использовать функцию правил авторизации IIS 7.5, чтобы GUI (менеджер inet) предоставлял администраторам возможность предоставлять / ограничить доступ на временной основе. Это возможно?

например. в блокировке конфигурации маршрутизации по умолчанию http://server/admin (которая аутентифицируется с помощью аутентификации Windows) без добавления атрибута Authorize в класс AdminController или действия IndexController, но только через IIS Manager после развертывания.

Answer 1

Придерживайтесь атрибута authorize для лучших практик. Проблема с правилами авторизации заключается в том, что они основаны на URL-адресах, а в MVC несколько URL-адресов могут иногда отправляться в одно и то же место, поэтому рекомендуется по возможности защищать их на уровне контроллера, а не с помощью URL-адреса.