自定义身份validation的HttpModule如何与Windows身份validation交互?
我正在尝试创建一个自定义HttpModule,它控制哪些用户可以查看网站。
我正在尝试利用Windows身份validation来执行此操作。
在单个页面上,我可能会这样做:
if (HttpContext.Current.User.Identity.Name.Contains("jsmith")) { Response.Write("You do not have the correct permissions to view this site."); Response.End(); } 但是因为我想在应用程序级别更加可配置,我想使用HttpModule。
这是我对代码的开始:
using System; using System.Web; public class CustomAuthHttpModule : IHttpModule { public void Dispose() { } public void Init(HttpApplication context) { context.BeginRequest += new EventHandler(OnBeginRequest); context.EndRequest += new EventHandler(OnEndRequest); } void OnBeginRequest(object sender, EventArgs e) { } void OnEndRequest(object sender, EventArgs e) { HttpApplication appObject = (HttpApplication)sender; HttpContext contextObject = appObject.Context; if (contextObject.User.Identity.Name.Contains("jsmith")) { contextObject.Response.Clear(); contextObject.Response.End(); } } }
如果我可以把它放在OnBeginRequest()函数中,我可以使用我的代码。 但是,在OnEndRequest()运行之前,不会在HttpContext对象中创建User属性。
之前运行代码会阻止应用程序执行生成此输出的额外工作,因为某些用户最终将被阻止访问。
有人可以建议一个解决方案吗 – 这是因为我的模块在Windows Auth模块之前运行,或者是什么?
…或者,也许有一种更简单的方法来执行我尝试使用IIS或文件系统权限的操作?
您需要AuthenticateRequest事件。
AuthenticateRequest事件
您是否尝试在global.aspx中实现该方法? OnSessionStart? 此外,我会使用hasRole或其他一些group-Property而不是contains和username。
为什么要为此编写一个http模块。 如果这是asp.net Web表单,那么为什么不简单地使用像LoginView这样的内置东西http://msdn.microsoft.com/en-us/library/system.web.ui.webcontrols.loginview.aspx