Как разрешить анонимный доступ только одному контроллеру?

Question

Я использую MVC 2.0 с аутентификацией форм. Я хочу разрешить публичный доступ к одному контроллеру под названием «Выход из системы». В настоящее время всякий раз, когда я просматриваю его, я получаю приглашение войти в систему.

<authentication mode="Forms">
  <forms loginUrl="Login/Login"  
         protection="All" timeout="30"
         name=".ASPXAUTH" 
         path="/" 
         requireSSL="false" 
         slidingExpiration="true"
         defaultUrl="Token/Create" 
         cookieless="UseDeviceProfile" 
         enableCrossAppRedirects="false" />
</authentication>

<!-- Deny Anonymous users. -->
<authorization>
  <deny users="?" />
</authorization> 

<ч /> Обновление: Я использую WIF, и каждый раз, когда пользователь заходит на страницу регистрации (анонимный доступ), мне нужно выходить из него, чтобы убедиться, что у него есть последние претензии в их токене, и их не просто разрешают с несвежим жетоном. Их претензии поступают через запрос на страницу регистрации.

Answer 1

Как упоминалось в SLaks, незарегистрированному пользователю не требуется доступ к действию выхода из системы.Но если вы хотите разрешить анонимный доступ к контроллерам / действиям, вы должны включить его в своем Web.Config:

<location path="~/Logout">
  <system.web>
    <authorization>
      <allow users="?" />
    </authorization>
  </system.web>
</location>

Лучший подход для чистого приложения MVC - использовать атрибут Authorize иразрешить доступ всем пользователям в web.config.

Answer 2

вам лучше использовать атрибуты на ваших контроллерах и / или действиях контроллеров, чем указывать авторизацию в конфигурации. [Авторизуйтесь] для действий, которые вы хотите ограничить только для аутентифицированных пользователей, а затем те, у кого нет атрибута, становятся общедоступными.