অনুমোদন এবং অনুমোদন ব্যর্থতার জন্য কেন অনুমোদনশাস্ত্র লগইন পৃষ্ঠায় পুনর্নির্দেশ করে?

এএসপি.এনইটি এমভিসিতে আপনি এর সাথে একটি নিয়ামক পদ্ধতি চিহ্নিত করতে পারেন AuthorizeAttribute:

[Authorize(Roles = "CanDeleteTags")]
public void Delete(string tagName)
{
    // ...
}

এর অর্থ হ'ল, যদি বর্তমানে লগ ইন করা ব্যবহারকারী "ক্যানডিলেটট্যাগস" ভূমিকাটিতে না থাকে তবে নিয়ামক পদ্ধতিটি কখনও কল করা হবে না।

দুর্ভাগ্যক্রমে, ব্যর্থতার জন্য, AuthorizeAttributeপ্রত্যাবর্তন HttpUnauthorizedResult, যা সর্বদা HTTP স্থিতি কোড 401 ফেরত দেয় This এটি লগইন পৃষ্ঠায় পুনর্নির্দেশের কারণ ঘটায়।

যদি ব্যবহারকারী লগ ইন না করে থাকেন তবে এটি সঠিক ধারণা দেয়। তবে, ব্যবহারকারী যদি ইতিমধ্যে লগ ইন থাকে তবে প্রয়োজনীয় ভূমিকা না রাখে তা তাদের লগইন পৃষ্ঠায় ফেরত পাঠানো বিভ্রান্তিকর।

দেখে মনে হচ্ছে AuthorizeAttributeপ্রমাণীকরণ এবং অনুমোদনের সাথে মিল রয়েছে।

এটি ASP.NET MVC তে কিছুটা পর্যবেক্ষণের মতো বলে মনে হচ্ছে, বা আমি কি কিছু হারিয়ে ফেলছি?

আমি একটি রান্না করতে হবে DemandRoleAttributeযে দুটি পৃথক। ব্যবহারকারী প্রমাণীকরণ না করা হলে, এটি লগইন পৃষ্ঠায় প্রেরণ করে HTTP 401 প্রদান করে। যখন ব্যবহারকারী লগ ইন থাকে তবে প্রয়োজনীয় ভূমিকাতে না থাকে, তার NotAuthorizedResultপরিবর্তে এটি তৈরি করে। বর্তমানে এটি একটি ত্রুটি পৃষ্ঠায় পুনঃনির্দেশ করে।

নিশ্চয়ই আমাকে এই কাজ করতে হবে না?

যখন এটি প্রথম বিকাশ করা হয়েছিল, System.Web.Mvc.AuthorizeAttribute সঠিক কাজটি করছিল - এইচটিটিপি স্পেসিফিকেশনের পুরানো সংশোধনীগুলি "অননুমোদিত" এবং "অননুমোদিত" উভয়ের জন্য স্থিতি কোড 401 ব্যবহার করেছিল।

মূল স্পেসিফিকেশন থেকে:

যদি অনুরোধটিতে ইতিমধ্যে অনুমোদনের শংসাপত্রগুলি অন্তর্ভুক্ত থাকে তবে 401 প্রতিক্রিয়াটি নির্দেশ করে যে সেই শংসাপত্রগুলির জন্য অনুমোদন প্রত্যাখ্যান করা হয়েছে।

আসলে, আপনি ঠিক সেখানে বিভ্রান্তি দেখতে পাচ্ছেন - এটি "অনুমোদন" শব্দটি ব্যবহার করে যখন এর অর্থ "প্রমাণীকরণ"। যদিও প্রতিদিনের অনুশীলনে ব্যবহারকারী অনুমোদনপ্রাপ্ত তবে অনুমোদিত না হলে 403 জন নিষিদ্ধ হওয়া প্রত্যাবর্তন করা আরও বোধগম্য হয়। ব্যবহারকারীর কাছে শংসাপত্রগুলির একটি দ্বিতীয় সেট থাকবে যা তাদের অ্যাক্সেস দিতে পারে - চারপাশে খারাপ ব্যবহারকারীর অভিজ্ঞতা।

বেশিরভাগ অপারেটিং সিস্টেম বিবেচনা করুন - যখন আপনি কোনও ফাইল পড়ার চেষ্টা করেন যখন আপনার অ্যাক্সেস করার অনুমতি নেই, আপনাকে লগইন স্ক্রিন প্রদর্শিত হবে না!

ধন্যবাদ, অস্পষ্টতা অপসারণ করতে HTTP স্পেসিফিকেশন আপডেট করা হয়েছিল (জুন 2014) 2014

"হাইপার টেক্সট ট্রান্সপোর্ট প্রোটোকল (HTTP / 1.1) থেকে: প্রমাণীকরণ" (আরএফসি 7235):

401 (অননুমোদিত) স্থিতি কোডটি নির্দেশ করে যে অনুরোধটি প্রয়োগ করা হয়নি কারণ লক্ষ্য সংস্থার জন্য বৈধ প্রমাণীকরণের শংসাপত্রের অভাব রয়েছে।

"হাইপারটেক্সট ট্রান্সফার প্রোটোকল (HTTP / 1.1): শব্দার্থবিজ্ঞান এবং সামগ্রী" (আরএফসি 7231) থেকে:

403 (নিষিদ্ধ) স্থিতি কোডটি ইঙ্গিত দেয় যে সার্ভারটি অনুরোধটি বুঝতে পেরেছিল কিন্তু এটি অনুমোদিত করতে অস্বীকার করেছে।

মজার ব্যাপারটি যথেষ্ট, এএসপি.এনইটি এমভিসি 1 প্রকাশিত হওয়ার সময় অথরিজঅ্যাট্রিবিউটের আচরণটি সঠিক ছিল। এখন, আচরণটি ভুল - HTTP / 1.1 নির্দিষ্টকরণ স্থির করা হয়েছিল was

এএসপি.এনইটি-র লগইন পৃষ্ঠাটি পুনঃনির্দেশগুলি পরিবর্তনের প্রয়াসের পরিবর্তে উত্সটিতে সমস্যা সমাধান করা সহজ। আপনি আপনার ওয়েবসাইটের ডিফল্ট নেমস্পেসে একই নামের ( AuthorizeAttribute) দিয়ে একটি নতুন বৈশিষ্ট্য তৈরি করতে পারেন (এটি খুব গুরুত্বপূর্ণ) তবে সংকলকটি স্বয়ংক্রিয়ভাবে এমভিসির মানকটির পরিবর্তে এটি বাছাই করবে। অবশ্যই আপনি যদি এই উপায়টি গ্রহণ করেন তবে আপনি সর্বদা বৈশিষ্ট্যটিকে একটি নতুন নাম দিতে পারেন could

[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, Inherited = true, AllowMultiple = true)]
public class AuthorizeAttribute : System.Web.Mvc.AuthorizeAttribute
{
    protected override void HandleUnauthorizedRequest(System.Web.Mvc.AuthorizationContext filterContext)
    {
        if (filterContext.HttpContext.Request.IsAuthenticated)
        {
            filterContext.Result = new System.Web.Mvc.HttpStatusCodeResult((int)System.Net.HttpStatusCode.Forbidden);
        }
        else
        {
            base.HandleUnauthorizedRequest(filterContext);
        }
    }
}

এটি আপনার লগইন পৃষ্ঠা_লড ফাংশনে যুক্ত করুন:

// User was redirected here because of authorization section
if (User.Identity != null && User.Identity.IsAuthenticated)
    Response.Redirect("Unauthorized.aspx");

যখন ব্যবহারকারীকে সেখানে পুনঃনির্দেশিত করা হয় তবে ইতিমধ্যে লগ ইন করা হয়, এটি অননুমোদিত পৃষ্ঠাটি দেখায়। যদি তারা লগ ইন না করে থাকে তবে এটি পড়ে এবং লগইন পৃষ্ঠাটি দেখায়।

আমি সবসময় ভাবতাম এটি বোধগম্য হয়। আপনি যদি লগ ইন হয়ে থাকেন এবং আপনি এমন কোনও পৃষ্ঠা হিট করার চেষ্টা করেন যা আপনার নিজের ভূমিকা না রাখার প্রয়োজন হয়, আপনি ভূমিকাটি থাকা কোনও ব্যবহারকারীর সাথে লগ ইন করার জন্য আপনাকে লগইন স্ক্রিনে এগিয়ে যেতে হবে।

আপনি লগইন পৃষ্ঠায় যুক্তি যুক্ত করতে পারেন যা ব্যবহারকারী ইতিমধ্যে প্রমাণীকৃত কিনা তা পরীক্ষা করে। আপনি একটি বন্ধুত্বপূর্ণ বার্তা যুক্ত করতে পারেন যা ব্যাখ্যা করে যে কেন তাদের আবার সেখানে বম করা হচ্ছে।

দুর্ভাগ্যক্রমে, আপনি ASP.NET ফর্ম প্রমাণীকরণের ডিফল্ট আচরণের সাথে ডিল করছেন। এখানে আলোচনা করার মতো কাজ আছে (আমি এটি চেষ্টা করে দেখিনি):

http://www.codeproject.com/KB/aspnet/Custon401Page.aspx

(এটি এমভিসির সাথে সুনির্দিষ্ট নয়)

আমি মনে করি বেশিরভাগ ক্ষেত্রে সবচেয়ে ভাল সমাধান হ'ল ব্যবহারকারীর সেখানে যাওয়ার চেষ্টা করার আগে অননুমোদিত সংস্থানগুলিতে অ্যাক্সেস সীমাবদ্ধ করা। লিঙ্ক বা বোতামটি সরিয়ে / ধূসর করে যা তাদের এই অননুমোদিত পৃষ্ঠায় নিয়ে যেতে পারে।

অননুমোদিত ব্যবহারকারীকে কোথায় পুনর্নির্দেশ করতে হবে তা নির্দিষ্ট করার জন্য বৈশিষ্ট্যে অতিরিক্ত প্যারামিটারটি রাখা ভাল হবে। তবে এরই মধ্যে আমি সুরক্ষা নেট হিসাবে অথরিজঅ্যাট্রিবিউটের দিকে তাকাচ্ছি।

আপনার গ্লোবাল.অ্যাসেক্স ফাইলের অ্যাপ্লিকেশন_এন্ডআরউইকস্ট হ্যান্ডলারে এটি ব্যবহার করে দেখুন

if (HttpContext.Current.Response.Status.StartsWith("302") && HttpContext.Current.Request.Url.ToString().Contains("/<restricted_path>/"))
{
    HttpContext.Current.Response.ClearContent();
    Response.Redirect("~/AccessDenied.aspx");
}

যদি আপনি অ্যাসপেটকোর ২.০ ব্যবহার করেন তবে এটি ব্যবহার করুন:

using System;
using Microsoft.AspNetCore.Mvc;
using Microsoft.AspNetCore.Mvc.Filters;

namespace Core
{
    [AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, Inherited = true, AllowMultiple = true)]
    public class AuthorizeApiAttribute : Microsoft.AspNetCore.Authorization.AuthorizeAttribute, IAuthorizationFilter
    {
        public void OnAuthorization(AuthorizationFilterContext context)
        {
            var user = context.HttpContext.User;

            if (!user.Identity.IsAuthenticated)
            {
                context.Result = new UnauthorizedResult();
                return;
            }
        }
    }
}

আমার ক্ষেত্রে সমস্যাটি ছিল "এইচটিটিপি স্পেসিফিকেশন ব্যবহৃত হয়েছে" অননুমোদিত "এবং" অননুমোদিত "উভয়ের জন্য স্থিতি কোড 401। যেমনটি শ্যাডোচ্যাজার বলেছিলেন।

এই সমাধানটি আমার পক্ষে কাজ করে:

if (User != null &&  User.Identity.IsAuthenticated && Response.StatusCode == 401)
{
    //Do whatever

    //In my case redirect to error page
    Response.RedirectToRoute("Default", new { controller = "Home", action = "ErrorUnauthorized" });
}