Установить страницу ошибки 403 в MVC - PullRequest
Новая
       79

Установить страницу ошибки 403 в MVC

15 голосов
/ 11 августа 2011

Я переопределяю класс для выполнения пользовательской авторизации 

[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, Inherited = true, AllowMultiple = true)]
public class AuthorizeAttribute : System.Web.Mvc.AuthorizeAttribute
{
    protected override void HandleUnauthorizedRequest(System.Web.Mvc.AuthorizationContext filterContext)
    {
        if (filterContext.HttpContext.Request.IsAuthenticated)
        {
            filterContext.Result = new System.Web.Mvc.HttpStatusCodeResult(403);
        }
        else
        {
            base.HandleUnauthorizedRequest(filterContext);
        }
    }
}

теперь в web.config я настроил страницу ошибки 403 

<customErrors defaultRedirect="/Shared/Error" mode="On">
  <error statusCode="403" redirect="/Shared/UnAuthorize" />
</customErrors>

но браузер все еще показывает мне страницу ошибки по умолчанию для 403, что мне здесь не хватает, любая идея

Ответы [ 6 ]

11 голосов
/ 11 августа 2011

Просто небольшая подсказка / примечание помимо Макса Б. ответ:

Когда я использую пользовательские ошибки, я создаю ErrorsController и UnAuthorize ActionResult и выполняю следующие действия: 

<error statusCode="403" redirect="/Errors/UnAuthorize" />

Таким образом, я могу добавить дополнительную информацию или выполнить другие действия в моем контроллере, например:

  • Как войти в базу данных, когда кто-то пытался получить доступ к аутентифицированной области.
  • Подсчет ошибок.
  • Возможно, это ошибка или форма отчета, которую они могут использовать для отправки информации администратора.
  • ...

Таким образом, у вас есть больше контроляо том, что происходит.

10 голосов
/ 25 июня 2014

Я знаю, что это очень старый вопрос, но я пишу для кого-то, у кого может быть такая же проблема.Как и у меня, у меня была такая же проблема, и я решил ее.Если вы хотите запустить элемент customErrors в web.config, попробуйте ниже: 

protected override void HandleUnauthorizedRequest(System.Web.Mvc.AuthorizationContext filterContext)
{
    throw new HttpException(403, "Forbidden");
}
6 голосов
/ 31 декабря 2013

У меня была та же проблема, что и у вас, когда я писал свой собственный AuthorizeAttribute. Страница пользовательских ошибок для 403 не будет отображаться, когда я добавлю тег "customErrors" в web.config. Вот как я решил это: 

[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, Inherited = true, AllowMultiple = true)]
public class AuthorizeAttribute : System.Web.Mvc.AuthorizeAttribute
{
    protected override void HandleUnauthorizedRequest(System.Web.Mvc.AuthorizationContext filterContext)
    {
        if (filterContext.HttpContext.Request.IsAuthenticated)
        {
           filterContext.Result = new RedirectToRouteResult(
                new RouteValueDictionary(
                    new
                        { 
                            controller = "Error", 
                            action = "Unauthorised" 
                        })
                ); 

        }
        else
        {
            base.HandleUnauthorizedRequest(filterContext);
        }
    }
}

Назначен маршрут, который я хотел бы отобразить для filterContext.Result, вместо назначения 403. HttpStatusCode.

3 голосов
/ 08 декабря 2011

Или вы можете использовать это альтернативное решение вместо: 

filterContext.Result = new System.Web.Mvc.HttpStatusCodeResult(403);

Вы можете изменить его на: 

if (filterContext.HttpContext.Request.IsAuthenticated)
        {               
            throw new UnauthorizedAccessException();
        }

И переопределить метод OnException (ExceptionContext filterContext) в вашем контроллере / BaseController 

protected override void OnException(ExceptionContext filterContext)
    {
        if (filterContext.ExceptionHandled)
        {
            return;
        }

        if (filterContext.Exception.GetType() == typeof(UnauthorizedAccessException))
        {   
            filterContext.Result = new ViewResult
            {
                ViewName = "~/Views/Error/NotAuthorized.cshtml"
            };
            filterContext.ExceptionHandled = true;
            return;
        }

        base.OnException(filterContext);
    }
0 голосов
/ 27 мая 2015

Как обрабатывать 401 (неавторизованный), 403 (запрещенный) и 500 (внутренняя ошибка сервера) в MVC.Для вызовов ajax / non-ajax и проверки подлинности с использованием aspx-форм.

Он может быть изменен, чтобы по-разному обрабатывать различные неперехваченные исключения и по-разному реагировать, независимо от того, является ли запрос ajax или нет.Часть auth позволяет ему обходить любые обычные веб-формы mvc, перенаправляющие на страницу входа в систему, и вместо этого возвращать 401 неавторизованным - тогда ваша клиентская инфраструктура js может легче реагировать на статус http 401/403. 

// FilterConfig.cs:
filters.Add(new ApplicationAuthorizeAttribute());
filters.Add(new ApplicationHandleErrorAttribute());

public class ApplicationAuthorizeAttribute : System.Web.Mvc.AuthorizeAttribute
{
    protected override void HandleUnauthorizedRequest(AuthorizationContext filterContext)
    {
        // Note: To reach here, a Web.config path-specific rule 'allow users="?"' is needed (otherwise it redirects to login)

        var httpContext = filterContext.HttpContext;
        var request = httpContext.Request;
        var response = httpContext.Response;

        if (request.IsAjaxRequest())
        {
            response.SuppressFormsAuthenticationRedirect = true;
            response.TrySkipIisCustomErrors = true;
        }

        filterContext.Result = new HttpUnauthorizedResult();
    }
}

public class ApplicationHandleErrorAttribute : HandleErrorAttribute
{
    public override void OnException(ExceptionContext context)
    {
        var exception = context.Exception is AggregateException
            ? ((AggregateException)context.Exception).InnerExceptions.First()
            : context.Exception;
        var request = context.HttpContext.Request;
        var response = context.HttpContext.Response;
        var isAjax = request.IsAjaxRequest();

        if (exception is MyCustomPermissionDeniedException)
        {
            filterContext.Result = new HttpStatusCodeResult(HttpStatusCode.Forbidden);
            response.TrySkipIisCustomErrors = isAjax;
            filterContext.ExceptionHandled = true;
            return;
        }

#if DEBUG
        if (!isAjax)
        {
            // Show default aspx yellow error page for developers
            return;
        }
#endif

        var requestUri = request.Url == null ? "" : request.Url.AbsoluteUri;
        MyCustomerLogger.Log(exception, requestUri);

        response.Clear();
        response.StatusCode = (int)System.Net.HttpStatusCode.InternalServerError;

#if DEBUG
        var errorMessage = exception.Message;
#else
        var errorMessage = "An error occurred, please try again or contact the administrator.";
#endif

        response.Write(isAjax
            ? JsonConvert.SerializeObject(new {Message = errorMessage})
            : errorMessage);
        response.End();
        response.TrySkipIisCustomErrors = true;
        context.ExceptionHandled = true;
    }
}

Web.config: 

<system.webServer>

<authentication mode="Forms">
  <forms name=".MYAUTHCOOKIE" protection="All" loginUrl="/Account/Login" timeout="18000" slidingExpiration="true" enableCrossAppRedirects="false" />
</authentication>

<authorization>
  <deny users="?" />
</authorization>

</system.webServer>

<!-- ajax api security done via ApplicationAuthorizeAttribute -->
<location path="api">
  <system.web>
    <authorization>
      <allow users="?"/>
    </authorization>
  </system.web>
</location>

Дополнительный маршрут для запросов API веб-службы: (ставится выше обычного маршрута mvc) 

// This route has special ajax authentication handling (no redirect to login page)
routes.MapRoute(
    name: "DefaultApi",
    url: "api/{controller}/{action}/{id}",
    defaults: new { id = UrlParameter.Optional }
);

Пример кода на стороне клиента для jquery для обработки ошибки:

$.ajaxSetup({
    complete: function onRequestCompleted(xhr, textStatus) {
        if (xhr.readyState == 4 && xhr.status == 401) {
            // Not needed with smart status: && xhr.responseText.substring(0, 150).indexOf("<title>Log in") != -1
            //location.href = "/Account/Login";
            alert("Your session has timed out.");
        }
    }
});

В качестве альтернативы вы можете заставить всю авторизацию проходить через ApplicationHandleErrorAttribute и избавиться от этого web.config deny users = "?".Но у меня есть устаревшая страница aspx, которая не попадает на фильтрацию mvc, поэтому я хочу запретить users = "?".

0 голосов
/ 11 августа 2011

Мне кажется, что HttpStatusCodeResult (403) находится в неправильной ветке if.На мой взгляд код должен выглядеть так: 

[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, Inherited = true, AllowMultiple = true)]
public class AuthorizeAttribute : System.Web.Mvc.AuthorizeAttribute
{
    protected override void HandleUnauthorizedRequest(System.Web.Mvc.AuthorizationContext filterContext)
    {
        if (!filterContext.HttpContext.Request.IsAuthenticated)
        {
            base.HandleUnauthorizedRequest(filterContext);
            filterContext.Result = new System.Web.Mvc.HttpStatusCodeResult(403);
        }
    }
}
Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.

Похожие темы

...