ASP.NET MVC網站下的虛擬目錄中的IIS內容驗證

Question

我有一個ASP.NET MVC應用程序，我將上傳的內容文件存儲在虛擬目錄中。這個虛擬目錄就在我的MVC網站的正下方。

我的問題是，虛擬目錄允許匿名訪問。任何人，無論登錄或不登錄，都可以在我的虛擬目錄中輸入一個公共URL並讀取其中的文件。是否可以配置IIS（或其他），以強制任何請求到這個虛擬目錄在允許訪問之前運行認證/授權例程？

這是不是我可以在我的網站的web.config配置，或不要求從不打任何服務器端代碼，在這種情況下？如果它從不碰到服務器端代碼（並將請求直接提供給IIS），我如何更改我的實現以要求我的站點進行身份驗證/授權，然後提供我的文件。

感謝您的幫助！

Answer 1

我不知道這是可能的，你究竟是如何要求它。但是，我知道你可以用不同的方法做到這一點。也許它會爲你工作。

的想法是受保護的文件存儲，是不是可以從網絡（而不是虛擬目錄）的文件夾。然後，在處理用戶身份驗證和文件服務的控制器（如Controllers/DownloadController.cs）上有一個方法。下面是可以從c:\myfiles檢索文件的樣品的方法：

控制器/ DownloadController.cs（動作僅法）：

[Authorize] 
public FileResult Download(string filename) 
{ 
    //get content type from file extension 
    var contentType = getContentTypeFromExtension(filename); 

    //return file with filename as third argument to 
    // trigger browser's download bahavior 
    return File(Path.Combine(fileFolder, filename), contentType, filename); 
} 

[Authorize] 
public FileResult Open(string filename) 
{ 
    //get content type from file extension 
    var contentType = getContentTypeFromExtension(filename); 

    //return file without download filename so that 
    // the file is opened in browser (if possible) 
    return File(Path.Combine(fileFolder, filename), contentType); 
} 

//method to get content type of file from registry using file extension 
static string getContentTypeFromExtension (string fileName) 
{ 
    string contentType = "application/unknown"; 
    string ext = System.IO.Path.GetExtension(fileName).ToLower(); 
    Microsoft.Win32.RegistryKey regKey = Microsoft.Win32.Registry.ClassesRoot.OpenSubKey(ext); 
    if (regKey != null && regKey.GetValue("Content Type") != null) 
     contentType = regKey.GetValue("Content Type").ToString(); 
    return contentType; 
} 

fileFolder變量應在類級別來定義。我把它拿出來，因爲它搞亂了代碼格式。 :)

Answer 2

如果您正在運行IIS 7或更高版本，具有集成的身份驗證，那麼上傳的內容將通過ASP.NET運行時中運行，因此所有正常的認證工作技巧 - 只需添加一個web.config文件夾執行一些安全性。

IIS 6或更早的版本提出了不同的挑戰。一個更好的想法是用一個HTTP處理程序「前置」文件，將它們從一個文件夾中抓取出來，以便您的文件受到運行時的保護。