私はASP MVC3アプリケーションを開発しており、Webページ(主にユーザーとグループを作成する)のセキュリティに関連するビューをいくつか持っています。このページはローカルネットワーク内のユーザーのみが使用します。ユーザーとパスワードを使用してアクセスする必要がある場合でも、ネットワーク外のアプリケーションを使用しているユーザーがセキュリティ対策としてアクセスするのを防ぎます。ASP MVC:一部のビュー/ページをローカルネットワークからのみアクセス可能にする方法はありますか?
これはIISとASPのMVC3で可能ですか?
はい、web.configを使用すると、IPアドレスによるパスへのアクセスを制限できます。例えば
:
<location path="/localOnly/">
<system.webServer>
<security>
<ipSecurity allowUnlisted="false">
<clear/>
<add ipAddress="127.*.*.*"/>
<add ipAddress="1.*.*.*"/>
<add ipAddress="192.*.*.*"/>
</ipSecurity>
</security>
</system.webServer>
</location>
編集:すでに"even though they need to access with their user and password"の部分はデフォルトのmvcのものを使用して管理していると思いますか?
あなたのユーザーはどのようにログインしていますか?ユーザーロールを割り当てて、特定のロールが特定のビューにアクセスできないようにすることはできますか?
@Ron Sijmの答えに基づいて、このようなことをしたいように見えます。
追加のアクセス(例えば管理者)を必要とするユーザーに役割を割り当て、その後、この役割を必要とするアクションにAuthorize属性を使用します。
[Authorize(Roles = "Admin")]
public ViewResult SecureAction()
{
}
しかしこれは、ロールプロバイダが必要です。既にロール管理があるので、custom role providerの実装を強くお勧めします。
メンバーシップ/ロールAPIを使用すると便利です。 http://stackoverflow.com/questions/5874239/best-approach-to-user-roles-with-an-intranet-applicationを参照してください。 – jrummell
しかし、web.configを使用する方が簡単です。私はメンバーシップ/ロールAPIを使用していませんでした。なぜなら、このシステムのセキュリティが処理される方法は、それとよく合わないレガシーシステムから継承されたからです。 – groovejet