ASP.NET запрещает доступ к определенным страницам на основе ролей

Question

У меня есть следующее в web.config, но пользователи без роли MAnager или Admin могут по-прежнему иметь доступ к странице pAccessData.aspx.Страница хранится в каталоге Users

<location path="Users"  >
    <system.web>
      <authorization>
        <allow users="*" />
      </authorization>
    </system.web>
  </location>

  <location path="~/Users/ChangePassword.aspx"  >
    <system.web>
      <authorization>
        <allow users="*"  />
      </authorization>
    </system.web>
  </location>

  <location path="~/Users/pAccessData.aspx"  >
    <system.web>
      <authorization>
        <allow roles="Manager,Admin"/>
        <deny users="*" />
      </authorization>
    </system.web>
  </location>

Answer 1

Вы не добавили <deny users="?"/>, должно быть как ...

<location path="Users/pAccessData.aspx"  >
    <system.web>
      <authorization>
        <deny users="?"/>
        <allow roles="Manager,Admin"/>            
      </authorization>
    </system.web>
  </location>

Редактировать: вы указали <allow users="*" />, что означает, что он разрешит доступ всем пользователям, поскольку вы не упомянули роли, для которых пользователь может получить доступ к папке.

<location path="Users"  >
<system.web>
  <authorization>
    <allow users="*" />
  </authorization>
</system.web>