Session_Start中的Request.RedirectToRoute導致會話重啓

Question

在Session_Start事件中，它調用authenticate_authorize類來返回AuthResult對象。

public AuthResult 
 
{ 
 
    public enumAuthResult Result {get;set;} 
 
    public string Controller {get;set;} 
 
    public string Action {get;set;} 
 
}

如果結果不enumAuthorized，控制器和行動將返回到在session_start。然後，如果使用Request.RedirectToRoute（）路由到控制器的操作，則Session_Start將處於無限循環中。看起來RedirectToRoute（）總是重新啓動會話。相反，如果使用Request.Redirect（），則正常啓動適當的控制器操作。

1. 什麼是在Session_Start事件中調用控制器動作而不使用重定向的正確方法？

2. 我應該將Application_AuthenticateRequest和Application_AuthorizeRequest事件中的認證和授權分開嗎？

3. 如果身份驗證和授權是在單獨的事件中完成的，如何將AuthResult對象傳遞給Session_Start事件以便它能夠正確地重定向或路由到控制器？

Response.RedirectToRoute(AuthResult.Controller, AuthResult.Action); 
 
Response.Redirect(string.Format("{0}/{1}",AuthResult.Controller, AuthResult.Action));

Answer 1

什麼叫不使用重定向在session_start事件的控制器操作的正確方法？

正確的方法是使用Authorization Filter，該選項在選擇動作後運行。微軟已經包含了一個默認的實現，AuthorizeAttribute，它爲用戶/角色提供大多數人的需求，但如果您需要制定自定義方案，則可以繼承。

AuthorizeAttribute使用IPrincipal和IUser接口，這些接口可以由任何自定義安全方案實現，並使用ASP.NET成員資格和ASP.NET身份實現。

如果您試圖將您的安全性建立在URL上，那麼幾乎不可能確保每個行動路線都將通過您的安全方案。例如，默認情況下，主頁可通過/,/Home或/Home/Index進行訪問，因此如果您的基於URL的授權僅佔用/，則用戶將能夠規避您的安全並通過/Home或/Home/Index訪問您的主頁操作。

我會建議您不要創建您自己的安全方案 - 要做到這一點需要基於您的問題沒有的經驗。相反，您應該查看MVC security overview以找到適用於您的應用程序的最佳選項，然後閱讀解釋如何實現它的教程。請注意，ASP.NET身份取代ASP.NET成員身份。