我知道我可以使用web.config中的授权标记来限制对ASP.NET MVC 3应用程序的访问
<authentication mode="Windows"></authentication>
<roleManager enabled="true" defaultProvider="AspNetWindowsTokenRoleProvider" />
<authorization>
<allow roles="MyDomain\MyGroup" />
<deny users="*" />
<deny users="?" />
</authorization>
或使用[Authorize()]属性(或甚至使用自定义Authorize属性)装饰控制器基类
[AdminOnly]
public class BaseController : Controller{}
问题是:他们是替代方法和等效方法吗?我应该总是使用一种方法而不是另一种方法吗?我应该记住哪些元素?
1 回答
不,不要在ASP.NET MVC中使用它 .
不,他们不是替代品 . 您不应该在ASP.NET MVC应用程序中的web.config中使用
<authorization>标记,因为它基于路径,而MVC使用控制器操作和路由 . 在ASP.NET MVC中进行授权的正确方法是使用[Authorize]属性 .