ASP.NET MVC 3 给 Web 用户带来挑战？

Question

在 ASP.NET Webforms 时代，我有一个 HTTP 模块，它提出 401 质询以获取用户名/密码、进行身份验证并继续。我使用基于 SSL 的基本身份验证来兼容许多不同的浏览器，并且还使用中央数据库存储来检查凭据。

使用最新的 MVC 位，我正在寻找一种方法来完成同样的事情。正确/现代的方法是什么？现在 Forms Auth 是唯一的方法吗？我确实需要向用户呈现熟悉的“登录框”。

谢谢。

Answer 1

Forms Auth 是当今唯一的方法吗？

表单身份验证只是一种身份验证方法。您还可以使用集成 Windows 身份验证、基本身份验证、摘要身份验证、OpenID 或其他方案。但无论您使用哪种类型的身份验证，在 ASP.NET MVC 中，您都可以使用 [Authorize] 属性。或者，如果您需要更多控制，您可以编写一个派生自标准身份验证属性的自定义身份验证属性。

Answer 2

如果您仍然希望使用该模块，您可能需要注意，在 MVC 中基于 URL 的授权很困难，因为许多 url 和更改使 url 访问变得棘手。 RESTful url 可以经常更改，并且多个 URL（ok URI）可以映射到同一位置。在 MVC 中，正如 Darin 指出的，重要的是在控制器类或方法上使用 [Authorize]。这里的想法是，无论使用什么 URI 来访问当前资源，您都知道权限是正确的。

处理该属性时，将检查用户角色成员资格，如果没有重定向到您想要的任何登录 URL（假设例如形成身份验证），但是您的身份验证提供程序可以将其配置为在用户未经授权时执行“任何操作” 。在 Windows 身份验证的情况下，系统会提示您登录对话框，就像通过 401 质询完成的那样，这就是为什么我说您仍然可以使用您的方法。

Windows 身份验证作为示例在此处完成： MVC 中的 Windows 身份验证