我正在使用 ASP.Net MVC。我使用 ASP Forms 身份验证限制了对网站的访问。但是,网页包含服务器上我也希望保护的 pdf 文件的链接。
例如,用户可以浏览到 foo.com 和 foo.com/account/logon。一旦他们登录,他们就可以访问 foo.com/category/bar,它在 bar.aspx 中显示视图。在该视图上是指向 foo.com/files/theta.pdf 的链接,该链接可以很好地加载到浏览器中。但是,除非用户经过身份验证,否则我不希望 foo.com/files/theta.pdf 可以从浏览器访问。
如何防止用户在未先在 foo.com/account/logon 进行身份验证的情况下直接从浏览器访问 foo.com/files/theta.pdf?
【问题讨论】:
标签: asp.net-mvc pdf
通过控制器传递请求,并返回FileResult。您可以通过使用Authorize 属性或通过检查控制器方法内部的权限,对控制器方法应用任何您想要的安全性。
this question 有一个这样的代码示例,它说明了如何返回图像文件。只需返回您的 pdf 而不是图像文件,并使用 application/pdf 作为 MIME 类型。
【讨论】:
However, a user could still add the entire link in the browser and bring it up. -- 这就是您将 Authorize 属性添加到控制器方法的原因,以限制仅分配给适当角色的那些用户的访问权限。如果用户键入一个他被拒绝访问的 URL,他可以被重定向到登录或未经授权的页面,而不是返回 FileResult。这与您将添加到 any 控制器方法以根据用户分配的角色允许或拒绝访问的安全性相同。更多信息在这里:nerddinnerbook.s3.amazonaws.com/Part9.htm
如果您想限制对/files 目录的所有访问,您可以简单地在web.config 中使用location 元素来限制访问。
例如
<location path="~/files">
<system.web>
<authorization>
<deny users="?" />
</authorization>
</system.web>
</location>
我应该补充一点,我同意 Robert 和 Rob 的高级安全性,但如果您只想要一个简单的解决方案,这应该可以解决问题。 :-)
HTH,
查尔斯
【讨论】:
使用 FileResult,我相信它是一个内置的 ActionResult。这将发回您可以拥有各种授权的二进制数据:
http://msdn.microsoft.com/en-us/library/system.web.mvc.fileresult.aspx
【讨论】:
如果你使用过 ASP.NET Core,你可以使用Resource-based authorization
授权策略取决于被访问的资源。考虑一个具有 author 属性的文档。仅允许作者更新文档。因此,必须先从数据存储中检索文档,然后才能进行授权评估。
【讨论】: