我使用形式的驗證後USER1日誌的其wrking fine.But在他西港島線顯示user1.aspx頁面,但訪問用戶2,如果他登陸他就可以訪問用戶2之後的URL改變頁面還這不應該發生,所以香港專業教育學院在網絡配置文件中所做的更改這樣我不應該讓用戶1通過改變URL
<authentication mode="Forms">
<forms
name=".LOGIN"
cookieless="UseCookies"
loginUrl="LOGIN.aspx"/>
</authentication>
<authorization>
<deny users="?"/>
</authorization>
</system.web>
<location path="~/CabScheduler/User1/User1.aspx">
<system.web>
<authorization>
<deny users="?"/>
</authorization>
</system.web>
</location>
<location path="~/CabScheduler/User2/User2.aspx">
<system.web>
<authorization>
<deny users="?"/>
</authorization>
</system.web>
</location>
<system.webServer>
<modules runAllManagedModulesForAllRequests="true"/>
</system.webServer>
</configuration>
在登錄page--
protected void btnLogin_Click(object sender, EventArgs e)
{
bool validLogin = false;
validLogin = IsValidUser(txtUserName.Text.Trim(), txtPassword.Text.Trim());
int UserId = FindRoleId(txtUserName.Text.Trim(), txtPassword.Text.Trim());
if (validLogin)
{
FormsAuthentication.RedirectFromLoginPage(txtUserName.Text.Trim(), false);
if(UserId ==1)
Response.Redirect("~/User1/User1.aspx");
else
Response.Redirect("~/User2/User2.aspx");
}
else
lblInformation.Text = "Incorrect Login Information";
}
告訴我,我在想什麼或做錯了。 非常感謝!
你有問題嗎? – Oded
身份驗證不應該依賴URL。 – gdoron
你沒有在任何地方進行任何授權檢查? ? – ryadavilli