在ASP.NET MVC中,可以使用AuthorizeAttribute类进行身份验证。AuthorizeAttribute是一个特性类,可以应用在控制器或者控制器中的单个动作方法上。
当应用AuthorizeAttribute特性时,它将检查当前用户是否被授权访问该动作方法或者控制器。如果用户没有被授权,AuthorizeAttribute将自动重定向到登录页面或者返回HTTP 401未授权状态码。
下面是一个简单的示例,演示如何使用AuthorizeAttribute类进行身份验证:
[Authorize]
public class HomeController : Controller
{
public ActionResult Index()
{
return View();
}
[Authorize(Roles = "Admin")]
public ActionResult AdminOnly()
{
return View();
}
}
在上面的示例中,Authorize特性被应用在HomeController类上,这意味着只有经过身份验证的用户才能访问HomeController中的任何动作方法。
另外,AdminOnly动作方法上还应用了Authorize特性,并使用Roles参数指定只有具有"Admin"角色的用户才能访问该方法。
可以在Web.config文件中配置身份验证设置,例如:
<system.web>
<authentication mode="Forms">
<forms loginUrl="~/Account/Login" timeout="2880" />
</authentication>
<authorization>
<deny users="?"/>
</authorization>
</system.web>
在上面的示例中,authentication元素指定使用Forms身份验证,并指定登录页面的URL和超时时间。authorization元素指定拒绝未经身份验证的用户访问所有控制器和动作方法。
需要注意的是,使用AuthorizeAttribute进行身份验证需要配置适当的身份验证提供程序和角色提供程序。可以使用ASP.NET的内置身份验证提供程序,也可以自定义身份验证逻辑。
