Вы не можете использовать файлы маршрутизации или web.config для защиты вашего MVC
приложение. Единственный поддерживаемый способ защитить ваше приложение MVC -
применить атрибут [Authorize] к каждому контроллеру и действию
метод (кроме методов входа / регистрации). Создание безопасности
решения, основанные на текущей области, являются очень плохой вещью и откроют
ваше приложение к уязвимостям.
Вы можете прочитать больше здесь .
Вы можете контролировать свой метод аутентификации в файле web.config :
<authentication mode="Forms">
<forms loginUrl="~/Account/LogOn" defaultUrl="~/Home/Index" timeout="2880" protection="All" slidingExpiration="true" />
</authentication>
, затем вы должны использовать атрибут [Authorize] для контроллера / действия, которое вы хотите защитить.
Как правило, вы не хотите защищать контроллер учетной записи.
Еще одна полезная ссылка .