/ / Configuración de autorización para una carpeta en ASP.NET - asp.net, web-config, autorización

Configuraciones de autorización para una carpeta en ASP.NET - asp.net, web-config, autorización

Tengo un sitio web asp.net, quiero restringir a todos los usuarios para acceder a una carpeta llamada "log" y tengo este elemento en web.config:

<location path="log">
<system.web>
<authorization>
<deny users="*"/>
</authorization>
</system.web>
</location>

y este elemento antes que en system.web:

<authorization>
<allow users="*"/>
</authorization>

Pero todavía tengo acceso a esta url: http://www.mydomain.com/log/log.txt

¿Algunas ideas?

Gracias.

Respuestas

2 para la respuesta № 1

.txt ASP.NET no maneja los archivos de forma predeterminada. Tendrá que bloquear el acceso a la carpeta desde IIS.

Si está utilizando IIS 7 puede usar Solicitud de filtrado lograr esto.

0 para la respuesta № 2

para evitar estas confusiones, normalmente creo un archivo web.config en los directorios que necesito para establecer diferentes permisos.

Si coloca un archivo web.config dentro de su carpeta de registro, funcionará bien (y será más fácil verificar los permisos aplicados en la carpeta)

Ejemplo:

<?xml version="1.0"?>
<configuration xmlns="http://schemas.microsoft.com/.NetConfiguration/v2.0">
<system.web>
<authorization>
<deny users="*"/>
</authorization>
</system.web>
</configuration>
0 para la respuesta № 3

Escribí un resumen ya que muchos enfrentaban la misma situación con respecto a la autenticación de subcarpetas.

Autorización de subcarpetas

  • ASP.NET solo puede tener una modo de autenticación para uno solicitud.
  • Lo diferente aplicaciones no pueden compartir recursos entre ellos.

Guión

Digamos que la página de inicio no debe iniciar sesióndiálogo. Debe permitir a los usuarios pasar sin tener que iniciar sesión. Sin embargo, en la misma aplicación, en una carpeta diferente, presumiblemente, otra página debe verificar el permiso del usuario con la tabla de la base de datos utilizando el ID de inicio de sesión de la red del usuario. Por defecto, IE trata a todos los sitios web con solo el nombre de host de una Intranet. Por su configuración de intranet predeterminada, no activará el cuadro de diálogo de inicio de sesión ni pasará el inicio de sesión y la contraseña del usuario a la aplicación si se utiliza la autenticación de Windows. Sin embargo, la parte complicada es que, si la aplicación tiene un dominio real, IE pensará que es un sitio de Internet y solicitará el inicio de sesión y la contraseña si se utiliza la autenticación de Windows.

La única forma de no promover el diálogo de inicio de sesión para el sitio de Internet mediante la autenticación de Windows, es también activar la autenticación anónima en IIS. Sin embargo, perderá la capacidad de capturar elinformación de inicio de sesión porque el Anónimo tiene prioridad sobre la autenticación de Windows. La buena noticia es que hay una manera de resolver ese problema. Si una subcarpeta de aplicación necesita capturar la información de inicio de sesión, deberá sobrescribir la autorización principal en el elemento Ubicación en web.config.

1 En IIS, configure la autenticación de la siguiente manera:

  1. Habilitar la autenticación anónima,
  2. Habilitar la autenticación de Windows

2 Agregue lo siguiente en Web.Config.

<authentication mode="Windows" />
<authorization>
<allow users="*" />
</authorization>

<!-- secured is the relative subfolder name. deny anonymous user, so only the authenticated login will pass through -->
<location path="secured" allowOverride="true">
<system.web>
<authorization>
<deny users="?" />
</authorization>
</system.web>
</location>

preguntas relacionadas

Rails 4 confunde uno de mis modelos de motores con otro módulo lib de motores: ruby-on-rails, ruby, ruby-on-rails-4, rspec
¿Debe almacenar un código de autorización de Oauth 2.0? Oauth-2.0
¿Por qué me piden la contraseña en el sitio para default.aspx - c #, asp.net, iis?
Rutas y rutas físicas de ASP.NET en web.config - c #, asp.net, web-config, autorización
Cómo crear una excepción en la etiqueta de autorización en web.config - c #, asp.net, vb.net, sitio web, web-config
¿Puedo usar la autorización en un archivo web.config dentro de una carpeta con mi sistema de autenticación personalizado? c #, asp.net, configuración web, autorización, control de inicio de sesión
cómo usar sso solo para algunas páginas - c #, asp.net, inicio de sesión único
Obtener ID de un usuario en la membresía de ASP.NET - asp.net
autorización asp.net - asp.net, autorización
¿Cómo puedo exceptuar la carpeta de estilo de la Autorización - asp.net, web-config, coding-style?
¿Cómo concede permisos a ASP.NET AJAX Toolkit en web.config? - asp.net, asp.net-ajax, permisos, ajaxcontroltoolkit, web-config
Problemas de acceso a la seguridad de WebConfig de ASP - asp.net, web-config
páginas seguras en asp.net c # - asp.net, seguridad, autorización
Activar la "autorización" hace que CSS deje de funcionar. como resolverlo - asp.net, css, autorización
Las configuraciones de autorización web.config de ASP.NET se ignoran en las subcarpetas: asp.net, asp.net-mvc, asp.net-mvc-2, autorización
¿Qué es preferible colocar las reglas de autenticación en la configuración web del sitio o en un archivo de configuración web específico para cada carpeta? - asp.net, configuración web, autorización
Autorice el atributo vs el nodo de autorización en web.config - asp.net, seguridad, asp.net-mvc-3
autorización web.config - asp.net, web-config
La autenticación desde asp.net siempre redirige: asp.net, formularios, autenticación
MVC 5 limita el acceso a la carpeta - asp.net-mvc, seguridad, configuración, configuración web