Отключить безопасность для HttpHandler в IIS7

Question

Я создал собственный обработчик http (IHttpHandler). Этот обработчик может вызываться из любого места приложения.

Например: domain.com/file.handlerExtension или может быть domain.com/folder/file.handlerExtension

У меня есть защита моего приложения, но этот обработчик должен быть доступен и анонимным пользователям. Из-за этого подхода бесполезно создавать элемент местоположения в веб-конфигурации для каждого возможного местоположения, из которого может быть вызван обработчик.

Есть ли способ удалить проверку проверки подлинности и авторизации для определенного ресурса или обработчика в IIS7?

Answer 1

Насколько я знаю - нет - это обрабатывается как HttpModule (если не используется аутентификация iis) - конфигурация приложения определяет URL для защиты. Единственная надежда может состоять в том, чтобы взломать его, чтобы он думал, что пользователь уже аутентифицирован (даже не уверен, сработает ли он) до запуска модулей аутентификации httpModules, что будет означать изменение порядка обработки. и даже тогда вам потребуется встроенная логика, чтобы сказать «принудительная аутентификация для запроса к ЭТОМУ URI»

Обработка безопасности MVC немного лучше IMHO, поскольку вы можете просто использовать атрибуты на своих контроллерах или методы для определения безопасности, и в этом случае ваше приложение просто останется анонимным для этого запроса.