【发布时间】:2010-05-25 15:26:00
【问题描述】:
我正在尝试仅允许特定登录访问 elmah.axd 文件,并且应拒绝所有其他登录。我已关注 Phil Haack 的 tutorial 来保护文件。
<httpHandlers>
<remove verb="*" path="*.asmx"/>
<add verb="*" path="*.asmx" validate="false" type="System.Web.Script.Services.ScriptHandlerFactory, System.Web.Extensions, Version=3.5.0.0, Culture=neutral, PublicKeyToken=31BF3856AD364E35"/>
<add verb="*" path="*_AppService.axd" validate="false" type="System.Web.Script.Services.ScriptHandlerFactory, System.Web.Extensions, Version=3.5.0.0, Culture=neutral, PublicKeyToken=31BF3856AD364E35"/>
<add verb="GET,HEAD" path="ScriptResource.axd" type="System.Web.Handlers.ScriptResourceHandler, System.Web.Extensions, Version=3.5.0.0, Culture=neutral, PublicKeyToken=31BF3856AD364E35" validate="false"/>
<add verb="POST,GET,HEAD" path="admin/elmah.axd" type="Elmah.ErrorLogPageFactory, Elmah" />
</httpHandlers>
<location path="admin">
<system.web>
<authorization>
<allow users="admin@testing.com"/>
<deny users="*"/>
</authorization>
</system.web>
</location>
首先,我以 user@testing.com 身份登录并尝试访问 http://localhost:58961/admin/elmah.axd 文件,然后我正确地被重定向到 Login.aspx 页面。接下来,我以 admin@testing.com 身份登录,并能够访问位于 http://localhost:58961/admin/elmah.axd 的 elmah 文件。现在我再次以 user@testing.com 身份登录,现在我可以访问 emlah 文件了。这种行为的原因是什么?
【问题讨论】:
-
您确定您在两次尝试之间注销。很多时候,打开的浏览器窗口不允许 cookie 过期。我将导航到虚假页面 junk.aspx 以验证哪个登录处于活动状态。