|
Zdrvím, pro autentikaci a autentizaci používám Membership a Role provider, který MVC4 automaticky vygeneruje při zakládání projektu. Jedná se o form authentication. ve web.config: <authentication mode="Forms"> <forms loginUrl="~/Account/Login" timeout="2880" /> </authentication> Otázka 1: Cílem je celý web zabezpečit, aby byl přístupný až po přihlášení. Teď musím v controlleru u každé metody volat Flags ([Authorize], [AllowAnonymous], ...) a nedokážu si představit situaci, že to musím volat u každé metody - chtěl bych tento zápis flagu vypustit a zapsat authentication globálně (ideálně nenastavovat na serveru v IIS) Otázka 2: Pokud použiji zabezpečení celého webu, a použiji v controllerech u metod: [Authorize(Roles = "Admin, Super User")] tj. bez flagu: [Authorize] bude aplikace stále bezpečná? Otázka 3: Když přejdu na stránku, kde nemám oprávnění (jsem autentizován), defaultně se ze šablon (View) zobrazuje stránka s přihlášením, tj.: public ActionResult LogOn() { return View(); } Tuto šablonu používám na přihlášení, je proto možné "nějak ohnout logiku" do stavu: Jsem přihlášen, jdu na controller co nemám oprávnění - zobraz mi jinou šablonu s informací "chyba oprávnění"? Děkuji, Petr
|