में प्राधिकृत विशेषता मुझे एएसपी.नेट एमवीसी में [Authorize]
विशेषता के वास्तविक उपयोग को समझने में कठिन समय है। अवधारणा के अनुसार, यदि हम [Authorize]
विशेषता के साथ नियंत्रक विधि को सजाने के लिए, केवल प्रमाणित उपयोगकर्ताओं को नियंत्रकों तक पहुंचने की अनुमति है।एएसपी.नेट एमवीसी
मैंने [Authorize]
विशेषता के साथ सजावटी नियंत्रकों के बिना एक एएसपी.नेट एमवीसी अनुप्रयोग विकसित किया है। मैंने जो देखा है, वह है कि यदि मैं web.config या किसी अन्य तरीके से अपने आवेदन में प्रमाणीकरण तंत्र को ठीक से कार्यान्वित करता हूं, तो अब मैं किसी विशेष क्रिया विधि के URL {controller}/{action}/{id}
तक पहुंच सकता हूं।
सिस्टम हमेशा लॉगिन के लिए पूछता है। इसका मतलब है कि मेरे नियंत्रक सुरक्षित हैं। मेरा सवाल यह है कि, जब मैं [Authorize]
विशेषता का उपयोग किए बिना अपने नियंत्रकों को सुरक्षित कर सकता हूं, तो इसकी वास्तविक आवश्यकता क्या है?
answer.But के लिए धन्यवाद एक ही प्रतिबंध है, मैं अपने web.config देखें पृष्ठों उन नियंत्रकों द्वारा दिया जाता है के लिए सदस्यता और भूमिका प्रदाता का उपयोग कर का उपयोग कर लगाया जा सकता है। मुझे इसके लिए [एथोस्रिज] विशेषता का उपयोग करने की आवश्यकता नहीं है। – techmad
@kaus - इंगित करने के लिए एक बात यह है कि एक एमवीसी ऐप में web.config का उपयोग सुरक्षा छेद की संभावना है। अधिकृत विशेषता एएसपी.NET रूटिंग के सभी खातों को ध्यान में रखती है, जबकि web.config के साथ आपको ऐप में सभी संभावित रूटिंग कॉन्फ़िगरेशन जानना होगा और उन्हें ध्यान में रखना होगा। हो सकता है कि आपने इसे सभी ध्यान में रखा हो, लेकिन आप web.config और routing.config और कहीं और देखकर सुनिश्चित नहीं हो सकते हैं। किसी वर्ग पर प्राधिकृत विशेषताओं को देखकर आप जानते हैं कि यह रूटिंग के बावजूद सुरक्षित है। एक्स्टेंसिबिलिटी का उल्लेख करने के लिए – DarrellNorton