प्रमाणीकरण और प्राधिकरण विफलताओं के लिए अधिकृत पेज लॉगिन पर पुनर्निर्देशित क्यों करता है?

ASP.NET MVC में, आप एक नियंत्रक विधि को चिह्नित कर सकते हैं AuthorizeAttribute इस तरह के :

[Authorize(Roles = "CanDeleteTags")]
public void Delete(string tagName)
{
    // ...
}

इसका मतलब यह है कि, यदि वर्तमान में लॉग-इन उपयोगकर्ता "CanDeleteTags" भूमिका में नहीं है, तो नियंत्रक विधि कभी नहीं कहा जाएगा।

दुर्भाग्य से, विफलताओं के लिए, AuthorizeAttribute रिटर्न HttpUnauthorizedResult, जो हमेशा HTTP स्थिति कोड 401 देता है। यह लॉगिन पृष्ठ पर पुनर्निर्देशन का कारण बनता है।

यदि उपयोगकर्ता लॉग इन नहीं है, तो यह सही समझ में आता है। हालांकि, अगर उपयोगकर्ता है पहले से लॉग इन है, लेकिन आवश्यक भूमिका में नहीं है, तो यह उन्हें लॉगिन पृष्ठ पर वापस भेजने के लिए भ्रमित कर रहा है।

ऐसा लगता है AuthorizeAttribute प्रमाणीकरण और प्राधिकरण को भ्रमित करता है।

ऐसा लगता है कि ASP.NET MVC में एक ओवरसाइट का एक सा है, या मैं कुछ याद कर रहा हूँ?

मुझे खाना बनाना है DemandRoleAttributeजो दोनों को अलग करता है। जब उपयोगकर्ता प्रमाणित नहीं होता है, तो वह HTTP 401 को लौटाता है, उन्हें लॉगिन पेज पर भेज देता है। जब उपयोगकर्ता लॉग इन होता है, लेकिन आवश्यक भूमिका में नहीं होता है, तो यह NotAuthorizedResultइसके बजाय बनाता है । वर्तमान में यह एक त्रुटि पृष्ठ पर पुनर्निर्देशित करता है।

निश्चित रूप से मुझे ऐसा करने की ज़रूरत नहीं थी?

जब यह पहली बार विकसित किया गया था, तो System.Web.Mvc.AuthorizeAttribute सही काम कर रहा था - HTTP विनिर्देश के पुराने संशोधनों ने "अनधिकृत" और "अनअथेंटेड" दोनों के लिए स्थिति कोड 401 का उपयोग किया।

मूल विनिर्देश से:

यदि अनुरोध में पहले से ही प्राधिकरण क्रेडेंशियल शामिल हैं, तो 401 प्रतिक्रिया इंगित करती है कि प्रमाणीकरण उन क्रेडेंशियल्स के लिए मना कर दिया गया है।

वास्तव में, आप भ्रम को वहीं देख सकते हैं - यह "प्रमाणीकरण" शब्द का उपयोग करता है जब इसका अर्थ "प्रमाणीकरण" होता है। हालांकि, हर रोज़ अभ्यास में, यह 403 को वापस करने के लिए अधिक समझ में आता है जब उपयोगकर्ता को प्रमाणित किया जाता है लेकिन अधिकृत नहीं है। यह संभावना नहीं है कि उपयोगकर्ता के पास क्रेडेंशियल्स का दूसरा सेट होगा जो उन्हें एक्सेस प्रदान करेगा - खराब उपयोगकर्ता अनुभव।

अधिकांश ऑपरेटिंग सिस्टम पर विचार करें - जब आप किसी ऐसी फ़ाइल को पढ़ने का प्रयास करते हैं जिसकी आपको अनुमति नहीं है, तो आपको लॉगिन स्क्रीन नहीं दिखाई जाती है!

शुक्र है, अस्पष्टता को दूर करने के लिए HTTP विनिर्देशों (जून 2014) को अपडेट किया गया था।

"हाइपर टेक्स्ट ट्रांसपोर्ट प्रोटोकॉल (HTTP / 1.1): ऑथेंटिकेशन" (RFC 7235) से:

401 (अनधिकृत) स्थिति कोड इंगित करता है कि अनुरोध लागू नहीं किया गया है क्योंकि इसमें लक्ष्य संसाधन के लिए वैध प्रमाणीकरण क्रेडेंशियल्स का अभाव है।

"हाइपरटेक्स्ट ट्रांसफर प्रोटोकॉल (HTTP / 1.1): शब्दार्थ और सामग्री" (RFC 7231) से:

403 (निषिद्ध) स्थिति कोड इंगित करता है कि सर्वर अनुरोध को समझ गया है लेकिन इसे अधिकृत करने से इनकार करता है।

दिलचस्प बात यह है कि ASP.NET MVC 1 को उस समय जारी किया गया था जब AuthorizeAttribute का व्यवहार सही था। अब, व्यवहार गलत है - HTTP / 1.1 विनिर्देश तय किया गया था।

ASP.NET के लॉगिन पृष्ठ को पुनर्निर्देशित करने का प्रयास करने के बजाय, स्रोत पर समस्या को ठीक करना आसान है। आप अपनी वेबसाइट के डिफ़ॉल्ट नामस्थान (यह बहुत महत्वपूर्ण है) में एक ही नाम ( AuthorizeAttribute) के साथ एक नई विशेषता बना सकते हैं, फिर कंपाइलर इसे MVC के मानक एक के बजाय स्वचालित रूप से उठाएगा। बेशक, आप हमेशा विशेषता को एक नया नाम दे सकते हैं यदि आप उस दृष्टिकोण को लेना चाहते हैं।

[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, Inherited = true, AllowMultiple = true)]
public class AuthorizeAttribute : System.Web.Mvc.AuthorizeAttribute
{
    protected override void HandleUnauthorizedRequest(System.Web.Mvc.AuthorizationContext filterContext)
    {
        if (filterContext.HttpContext.Request.IsAuthenticated)
        {
            filterContext.Result = new System.Web.Mvc.HttpStatusCodeResult((int)System.Net.HttpStatusCode.Forbidden);
        }
        else
        {
            base.HandleUnauthorizedRequest(filterContext);
        }
    }
}

इसे अपने लॉगिन Page_Load फ़ंक्शन में जोड़ें:

// User was redirected here because of authorization section
if (User.Identity != null && User.Identity.IsAuthenticated)
    Response.Redirect("Unauthorized.aspx");

जब उपयोगकर्ता को पुनर्निर्देशित किया जाता है, लेकिन पहले से लॉग इन है, तो यह अनधिकृत पेज दिखाता है। यदि वे लॉग इन नहीं हैं, तो यह लॉगिन पेज के माध्यम से गिरता है और दिखाता है।

मैंने हमेशा सोचा कि यह समझ में आया। यदि आप लॉग इन हैं और आप एक ऐसे पेज को हिट करने की कोशिश करते हैं, जिसके लिए आपको एक भूमिका की आवश्यकता होती है, तो आपको लॉगिन स्क्रीन पर भेज दिया जाता है, जिसमें आपको उस उपयोगकर्ता के साथ लॉग इन करने के लिए कहा जाता है, जिसकी भूमिका है।

आप लॉगिन पृष्ठ पर तर्क जोड़ सकते हैं जो यह देखने के लिए जांचता है कि उपयोगकर्ता पहले से ही प्रमाणित है या नहीं। आप एक मैत्रीपूर्ण संदेश जोड़ सकते हैं जो बताता है कि क्यों उन्हें फिर से वहाँ वापस भेज दिया गया है।

दुर्भाग्य से, आप ASP.NET के डिफ़ॉल्ट व्यवहार के साथ काम कर रहे हैं प्रमाणीकरण। यहाँ पर चर्चा की गई है (मैंने इसे आज़माया नहीं है) एक वर्कअराउंड है:

http://www.codeproject.com/KB/aspnet/Custon401Page.aspx

(यह MVC के लिए विशिष्ट नहीं है)

मुझे लगता है कि ज्यादातर मामलों में सबसे अच्छा समाधान उपयोगकर्ता को वहां पहुंचने से पहले अनधिकृत संसाधनों तक पहुंच को प्रतिबंधित करना है। लिंक या बटन को हटाकर / हटाकर जो इस अनधिकृत पृष्ठ पर ले जा सकते हैं।

यह निर्दिष्ट करने के लिए कि एक अनधिकृत उपयोगकर्ता को फिर से निर्देशित करने की विशेषता पर एक अतिरिक्त पैरामीटर होना शायद अच्छा होगा। लेकिन इस बीच, मैं एक सुरक्षा जाल के रूप में अधिकृत करें।

अपने Global.ascx फ़ाइल के Application_EndRequest हैंडलर में इसे आज़माएं

if (HttpContext.Current.Response.Status.StartsWith("302") && HttpContext.Current.Request.Url.ToString().Contains("/<restricted_path>/"))
{
    HttpContext.Current.Response.ClearContent();
    Response.Redirect("~/AccessDenied.aspx");
}

यदि आपकी एस्पेक्टकोर 2.0 का उपयोग कर रहे हैं, तो इसका उपयोग करें

using System;
using Microsoft.AspNetCore.Mvc;
using Microsoft.AspNetCore.Mvc.Filters;

namespace Core
{
    [AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, Inherited = true, AllowMultiple = true)]
    public class AuthorizeApiAttribute : Microsoft.AspNetCore.Authorization.AuthorizeAttribute, IAuthorizationFilter
    {
        public void OnAuthorization(AuthorizationFilterContext context)
        {
            var user = context.HttpContext.User;

            if (!user.Identity.IsAuthenticated)
            {
                context.Result = new UnauthorizedResult();
                return;
            }
        }
    }
}

मेरे मामले में समस्या "अनधिकृत" और "अनधिकृत" "दोनों के लिए HTTP विनिर्देशन ने स्थिति कोड 401 का उपयोग किया था। जैसा छायाकार ने कहा।

यह समाधान मेरे लिए काम करता है:

if (User != null &&  User.Identity.IsAuthenticated && Response.StatusCode == 401)
{
    //Do whatever

    //In my case redirect to error page
    Response.RedirectToRoute("Default", new { controller = "Home", action = "ErrorUnauthorized" });
}