Как заставить атрибут Authorize возвратить пользовательскую страницу ошибки 403 вместо перенаправления на страницу входа в систему

[Authorize] Атрибут - это приятное и удобное изобретение MS, и я надеюсь, что он сможет решить проблемы, которые у меня есть сейчас.

Более конкретно:

Когда текущий клиент не аутентифицирован - [Authorize] перенаправляет с защищенного действия на страницу входа и после успешного входа в систему - возвращает пользователя, это хорошо.

Но когда текущий клиент уже аутентифицирован, но не авторизован для запуска определенного действия - все, что мне нужно, это просто показать мою общую страницу 403.

Возможно ли это, не двигая логику авторизации в тело контроллера?

Обновление: Поведение, в котором я нуждаюсь, должно быть семантически равно этому эскизу:

public ActionResult DoWork()
{
    if (!NotAuthorized())
    {
        // this should be not redirect, but forwarding 
        return RedirectToAction("403");         
    }

    return View();
}

so - не должно быть никаких перенаправлений и URL-адресов, которые должны оставаться неизменными, но содержимое страницы должно быть заменено на 403 страницы

Обновление 2. Я реализовал эскиз следующим образом:

[HandleError]
public class HomeController : Controller
{
    public ActionResult Index()
    {
        ViewData["Message"] = "Welcome to ASP.NET MVC!";

        return View();
    }

    [CustomActionFilter]
    public ActionResult About()
    {
        return View();
    }

    public ActionResult Error_403()
    {
        return Content("403");
    }
}

public class CustomActionFilter : ActionFilterAttribute
{
    public override void OnActionExecuting(ActionExecutingContext filterContext)
    {
        filterContext.Result = new ContentResult { Content = "403" };
    }
}

И не получается, как правильно перенаправить выполнение на HomeController.Action_403(), чтобы он отображал 403.

Обновление 3:

filterContext.Result = new ViewResult() { ViewName = "Error_403" };

так что это ответ на то, как визуализировать определенный шаблон представления... но до сих пор не знаю, как запустить другой контроллер - во всяком случае, это достаточно хорошее решение.

ОТВЕТЫ

Ответ 1

Вы должны иметь возможность создать свой собственный класс, который происходит от AuthorizeAttribute и переопределить AuthorizeCore, чтобы предоставить механизм авторизации, который вы хотите, чтобы вы могли применить свой собственный код авторизации, используя атрибут вместо его перемещения в контроллер.

Если вам требуется более мелкомасштабный контроль над авторизацией, я рекомендую вам создать реализацию интерфейса IActionFilter (на атрибут, затем примените атрибут к вашим методам). Это позволит вам перехватить вызовы, прежде чем они перейдут к контроллеру, и предоставить альтернативные действия до вызова метода контроллера.

Это достигается путем реализации метода OnActionExecuting в интерфейсе IActionFilter. Если ваша логика определяет, что вы вообще не должны звонить на контроллер, и вы хотите вместо ActionResult обрабатывать, то вы установите Result свойство на ActionExecutingContext, переданный в метод. Делая это, обрабатывается ActionResult вместо перехода к методу контроллера для получения ActionResult.

Если вы хотите вернуть код ошибки 403, вы не можете использовать класс ContentResult. Вам нужно будет создать свой собственный класс, полученный из ActionResult и переопределить метод ExecuteResult, чтобы установить StatusCode свойство на HttpResponseBase до 403, например:

internal class Http403Result : ActionResult
{
    public override void ExecuteResult(ControllerContext context)
    {
        // Set the response code to 403.
        context.HttpContext.Response.StatusCode = 403;
    }
}

public class CustomActionFilter : ActionFilterAttribute
{
    public override void OnActionExecuting(ActionExecutingContext filterContext)
    {
        filterContext.Result = new Http403Result();
    }
}

Конечно, вы можете обобщить класс Http403Result, чтобы взять конструктор, который примет код состояния, который вы хотите вернуть, но концепция остается той же.

Ответ 2

Что бы я сделал, это подкласс AuthorizeAttribute и переопределить его HandleUnauthorizedRequest, чтобы вернуть код статуса HTTP 403, если пользователь аутентифицирован. Затем я добавлю раздел system.webServer\httpErrors в свой Web.Config, чтобы заменить стандартную 403 моей пользовательской страницей (для этой последней части требуется IIS 7+). Вот как:

public class MyAuthorizeAttribute : AuthorizeAttribute {
    protected override void HandleUnauthorizedRequest(AuthorizationContext filterContext) {
        if (filterContext.HttpContext.User.Identity.IsAuthenticated)
            filterContext.Result = new HttpStatusCodeResult(403);
        else
            filterContext.Result = new HttpUnauthorizedResult();
    } 
}

<configuration>
  <system.webServer>
    <httpErrors errorMode="Custom" existingResponse="Replace">
      <remove statusCode="403" />
      <error statusCode="403" responseMode="ExecuteURL" path="/Error/MyCustom403page" />
    </httpErrors>
  </system.webServer>
</configuration>