限制 IIS 中对 MVC 路由的访问

Question

我想将通过 IIS 对 MVC 站点中的路由的访问限制为使用 Windows 身份验证的 Intranet 站点。

我知道这可以通过控制器或操作上的授权属性来完成，但我更喜欢使用 IIS 7.5 的授权规则功能，这样 GUI（inet 管理器）为管理员提供了授予/限制访问权限的能力一个临时的基础。这可能吗？

例如，在默认路由配置中锁定 http://server/admin （通过 Windows 身份验证进行身份验证），而不添加授权属性到 AdminController 类或 AdminController 的索引操作，但只能通过 IIS 管理器部署后。

Answer 1

坚持使用授权属性以获得最佳实践。授权规则的问题在于它是基于 URL 的，并且在 MVC 中，多个 url 有时可以到达同一个位置，这就是为什么建议您尽可能在控制器级别进行保护，而不是通过 URL 进行保护。