这是来自一些 MCTS 70-515 考试练习测试的问题。
请帮忙回答正确的 2 个答案
您正在实现一个允许用户查看和编辑数据的 ASP.NET MVC 2 Web 应用程序。您需要确保只有登录用户可以访问控制器的编辑操作。您可以向“编辑”操作添加哪两个可能的属性来实现此目标?
(每个正确答案都代表一个完整的解决方案。选择两个。)
【问题讨论】:
查看AuthorizeAttribute的源码,发现没有通配符“*”。
[Authorize(Users = "")] 会导致“没有人”可以访问该操作是没有意义的。
AuthorizeAttribute的源代码
protected virtual bool AuthorizeCore(HttpContextBase httpContext) {
if (httpContext == null) {
throw new ArgumentNullException("httpContext");
}
IPrincipal user = httpContext.User;
if (!user.Identity.IsAuthenticated) {
return false;
}
if (_usersSplit.Length > 0 && !_usersSplit.Contains(user.Identity.Name, StringComparer.OrdinalIgnoreCase)) {
return false;
}
if (_rolesSplit.Length > 0 && !_rolesSplit.Any(user.IsInRole)) {
return false;
}
return true;
}
还有Role 和Users 属性。
public string Roles {
get {
return _roles ?? String.Empty;
}
set {
_roles = value;
_rolesSplit = SplitString(value); // simple split by comma
}
}
public string Users {
get {
return _users ?? String.Empty;
}
set {
_users = value;
_usersSplit = SplitString(value); // simple split by comma
}
}
【讨论】:
编辑:我已经改变了这个,所以它现在是正确的,只是补充了 dknaack 的正确答案
使用[Authorize] 装饰动作意味着用户必须经过身份验证。
因此,如果您希望任何已登录的用户能够访问某个操作,只需输入[Authorize] 即可。
dknaack 参考了源代码,所以他的回答一定是正确的,尽管我觉得有点奇怪。但显然是对的!
补充一下,如果_usersSplit 就像逗号上的正常拆分,那么我们希望_usersSplit.Length 在_users ="" 时是1,我仍然是对的,但我猜拆分功能是使用RemoveEmptyEntries 选项。现在不能以 am afk 的身份引用其来源(昨天进行了膝关节手术,目前还不允许在计算机上使用 - 哈哈)。
空字符串不是用户或角色的有效名称。见这里:http://msdn.microsoft.com/en-us/library/8fw7xh74(v=VS.100).aspx
如果有任何指定的用户,您应该抛出 ArgumentException 名称或角色名称是一个空字符串,如果是 ArgumentNullException 任何指定的用户名或角色名都为空(在 Visual Basic)。
【讨论】: