Почему AuthorizeAttribute перенаправляет на страницу входа в систему при сбое аутентификации и авторизации?

265

В ASP.NET MVC вы можете пометить метод контроллера AuthorizeAttributeследующим образом:

[Authorize(Roles = "CanDeleteTags")]
public void Delete(string tagName)
{
    // ...
}

Это означает, что, если зарегистрированный в данный момент пользователь не имеет роли «CanDeleteTags», метод контроллера никогда не будет вызываться.

К сожалению, для сбоев AuthorizeAttributeвозвращается HttpUnauthorizedResult, что всегда возвращает код состояния HTTP 401. Это вызывает перенаправление на страницу входа.

Если пользователь не вошел в систему, это имеет смысл. Тем не менее, если пользователь уже вошел в систему, но не в требуемой роли, отправлять их обратно на страницу входа в систему сложно.

Похоже, что AuthorizeAttributeобъединяет аутентификацию и авторизацию.

Это похоже на упущение в ASP.NET MVC, или я что-то упустил?

Я должен был приготовить что-то, DemandRoleAttributeчто разделяет их. Когда пользователь не аутентифицирован, он возвращает HTTP 401, отправляя его на страницу входа. Когда пользователь вошел в систему, но не в требуемой роли, он создает NotAuthorizedResultвместо этого. В настоящее время это перенаправляет на страницу ошибки.

Конечно, я не должен был этого делать?

asp.net-mvc authentication authorization

— Роджер Липскомб
источник

10

Отличный вопрос, и я согласен, он должен выдавать статус HTTP Not Authorized.

— Pure.Krome

3

Мне нравится ваше решение, Роджер. Даже если вы этого не сделаете.

— Джон Дэвис

Моя страница входа в систему имеет проверку, чтобы просто перенаправить пользователя на ReturnUrl, если он / она уже прошел аутентификацию. Поэтому мне удалось создать бесконечный цикл из 302 перенаправлений: D woot.

— juhan_h

1

Проверьте это .

— Йогин

Роджер, хорошая статья о вашем решении - red-gate.com/simple-talk/dotnet/asp-net/… Кажется, ваше решение - единственный способ сделать это чисто

— Крейг

305

Когда он был впервые разработан, System.Web.Mvc.AuthorizeAttribute действовал правильно - более ранние версии спецификации HTTP использовали код состояния 401 как для «неавторизованного», так и «неаутентифицированного».

Из оригинальной спецификации:

Если в запрос уже включены учетные данные авторизации, то ответ 401 указывает, что в авторизации было отказано для этих учетных данных.

На самом деле, вы можете увидеть путаницу прямо здесь - она использует слово «авторизация», когда оно означает «аутентификация». Однако в повседневной практике имеет смысл возвращать 403 Запрещено, когда пользователь аутентифицирован, но не авторизован. Маловероятно, что у пользователя будет второй набор учетных данных, который предоставит ему доступ - плохой пользовательский опыт со всех сторон.

Рассмотрим большинство операционных систем - когда вы пытаетесь прочитать файл, к которому у вас нет прав доступа, вам не показывается экран входа!

К счастью, спецификации HTTP были обновлены (июнь 2014 г.), чтобы устранить неоднозначность.

Из «Гипертекстового транспортного протокола (HTTP / 1.1): аутентификация» (RFC 7235):

Код состояния 401 (неавторизованный) указывает, что запрос не был применен, поскольку в нем отсутствуют действительные учетные данные аутентификации для целевого ресурса.

Из «Протокола передачи гипертекста (HTTP / 1.1): семантика и контент» (RFC 7231):

Код состояния 403 (Запрещено) указывает, что сервер понял запрос, но отказывается его авторизовать.

Интересно, что на момент выпуска ASP.NET MVC 1 поведение AuthorizeAttribute было правильным. Теперь поведение некорректно - спецификация HTTP / 1.1 была исправлена.

Вместо того, чтобы пытаться изменить перенаправления страницы входа в ASP.NET, проще просто устранить проблему у источника. Вы можете создать новый атрибут с таким же именем ( AuthorizeAttribute) в пространстве имен вашего сайта по умолчанию (это очень важно), тогда компилятор автоматически подберет его вместо стандартного MVC. Конечно, вы всегда можете дать атрибуту новое имя, если вы предпочитаете такой подход.

[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, Inherited = true, AllowMultiple = true)]
public class AuthorizeAttribute : System.Web.Mvc.AuthorizeAttribute
{
    protected override void HandleUnauthorizedRequest(System.Web.Mvc.AuthorizationContext filterContext)
    {
        if (filterContext.HttpContext.Request.IsAuthenticated)
        {
            filterContext.Result = new System.Web.Mvc.HttpStatusCodeResult((int)System.Net.HttpStatusCode.Forbidden);
        }
        else
        {
            base.HandleUnauthorizedRequest(filterContext);
        }
    }
}

— ShadowChaser
источник

52

+1 Очень хороший подход. Небольшое предложение: вместо проверки filterContext.HttpContext.User.Identity.IsAuthenticatedвы можете просто проверить filterContext.HttpContext.Request.IsAuthenticated, которая поставляется со встроенными нулевыми проверками. См. Stackoverflow.com/questions/1379566/…

— Даниэль Лиуцци,

> Вы можете создать новый атрибут с тем же именем (AuthorizeAttribute) в пространстве имен вашего сайта по умолчанию, после чего компилятор автоматически подберет его вместо стандартного MVC. Это приводит к ошибке: Не удалось найти тип или пространство имен «Авторизация» (отсутствует директива или ссылка на сборку?) Оба с использованием System.Web.Mvc; и пространство имен для моего пользовательского класса AuthorizeAttribute упоминается в контроллере. Чтобы решить эту проблему, мне пришлось использовать [MyNamepace.Authorize]

— stormwild

2

@DePeter спецификация никогда не говорит ничего о перенаправлении, так почему же перенаправление является лучшим решением? Это само по себе убивает запросы AJAX без взлома для его решения.

— Адам Тюльпер - MSFT

1

Это должно быть зарегистрировано в MS Connect, потому что это явно поведенческая ошибка. Спасибо.

— Тони Уолл

Кстати, почему мы перенаправлены на страницу входа? Почему бы просто не вывести код 401 и страницу входа непосредственно в одном запросе?

— SandRock

25

Добавьте это к вашей функции Login Page_Load:

// User was redirected here because of authorization section
if (User.Identity != null && User.Identity.IsAuthenticated)
    Response.Redirect("Unauthorized.aspx");

Когда пользователь перенаправлен туда, но уже вошел в систему, отображается неавторизованная страница. Если они не вошли в систему, он проваливается и показывает страницу входа.

— Алан Джексон
источник

18

Page_Load - это модо вебформ

— шанс

2

@Chance - затем сделайте это в ActionMethod по умолчанию для контроллера, который вызывается там, где был настроен вызов FormsAuthencation.

— Pure.Krome

Это на самом деле работает очень хорошо, хотя для MVC это должно быть что-то вроде if (User.Identity != null && User.Identity.IsAuthenticated) return RedirectToRoute("Unauthorized");где Unauthorized - это определенное имя маршрута.

— Моисей Мачуа

Итак, вы спрашиваете ресурс, вы перенаправляетесь на страницу входа в систему и снова перенаправляетесь на страницу 403? Кажется плохим для меня Я даже не могу терпеть одно перенаправление вообще. ИМО эта штука очень плохо построена в любом случае.

— SandRock

3

Согласно вашему решению, если вы уже вошли в систему и перейдете на страницу входа, введя URL-адрес ... это приведет к переходу на страницу неавторизованных пользователей. что не правильно.

— Раджшекар Редди

4

Я всегда думал, что это имеет смысл. Если вы вошли в систему и пытаетесь перейти на страницу, для которой не нужна роль, вы попадаете на экран входа в систему с просьбой войти в систему с пользователем, у которого есть эта роль.

Вы можете добавить логику на страницу входа, которая проверяет, прошел ли пользователь аутентификацию. Вы можете добавить дружеское сообщение, которое объясняет, почему они снова были обмануты.

— обкрадывать
источник

4

Мне кажется, что большинство людей не склонны иметь более одной идентичности для данного веб-приложения. Если они это сделают, то они достаточно умны, чтобы думать, что «у моего текущего идентификатора нет mojo, я войду снова как другой».

— Роджер Липскомб

Хотя ваш другой пункт о отображении чего-либо на странице входа в систему является хорошим. Спасибо.

— Роджер Липскомб

4

К сожалению, вы имеете дело с поведением по умолчанию проверки подлинности форм ASP.NET. Здесь есть обходной путь (я не пробовал):

http://www.codeproject.com/KB/aspnet/Custon401Page.aspx

(Это не специфично для MVC)

Я думаю, что в большинстве случаев лучшим решением является ограничение доступа к неавторизованным ресурсам до того, как пользователь попытается туда добраться. Удаляя / скрывая ссылку или кнопку, которая может привести их к этой неавторизованной странице.

Вероятно, было бы неплохо иметь дополнительный параметр в атрибуте, чтобы указать, куда перенаправлять неавторизованного пользователя. Но пока я смотрю на AuthorizeAttribute как на сеть безопасности.

— Keltex
источник

Я также планирую удалить ссылку на основе авторизации (где-то здесь я видел вопрос об этом), поэтому позже я напишу метод расширения HtmlHelper.

— Роджер Липскомб

1

Мне все еще нужно запретить пользователю переходить непосредственно к URL-адресу, что и является этим атрибутом. Я не слишком доволен решением Custom 401 (кажется немного глобальным), поэтому я попытаюсь смоделировать свой NotAuthorizedResult на RedirectToRouteResult ...

— Роджер Липскомб

0

Попробуйте это в вашем обработчике Application_EndRequest вашего файла Global.ascx.

if (HttpContext.Current.Response.Status.StartsWith("302") && HttpContext.Current.Request.Url.ToString().Contains("/<restricted_path>/"))
{
    HttpContext.Current.Response.ClearContent();
    Response.Redirect("~/AccessDenied.aspx");
}

— Карим Кембридж
источник

0

Если вы используете aspnetcore 2.0, используйте это:

using System;
using Microsoft.AspNetCore.Mvc;
using Microsoft.AspNetCore.Mvc.Filters;

namespace Core
{
    [AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, Inherited = true, AllowMultiple = true)]
    public class AuthorizeApiAttribute : Microsoft.AspNetCore.Authorization.AuthorizeAttribute, IAuthorizationFilter
    {
        public void OnAuthorization(AuthorizationFilterContext context)
        {
            var user = context.HttpContext.User;

            if (!user.Identity.IsAuthenticated)
            {
                context.Result = new UnauthorizedResult();
                return;
            }
        }
    }
}

— Грег Гам
источник

0

В моем случае проблема заключалась в том, что «спецификация HTTP использовала код состояния 401 как для« неавторизованного », так и« неавторизованного »». Как сказал ShadowChaser.

Это решение работает для меня:

if (User != null &&  User.Identity.IsAuthenticated && Response.StatusCode == 401)
{
    //Do whatever

    //In my case redirect to error page
    Response.RedirectToRoute("Default", new { controller = "Home", action = "ErrorUnauthorized" });
}

— Сезар Леон
источник