Freigeben über

deny-Element für authorization (ASP.NET-Einstellungsschema)

  • Artikel

Aktualisiert: November 2007

Fügt der Zuordnung der Autorisierungsregeln eine Autorisierungsregel hinzu, die den Zugriff auf eine Ressource verweigert.

configuration-Element (allgemeines Einstellungsschema)
  system.web-Element (ASP.NET-Einstellungsschema)
    authorization-Element (ASP.NET-Einstellungsschema)
      deny-Element für authorization (ASP.NET-Einstellungsschema)

<deny 
  users="comma-separated list of users"
  roles="comma-separated list of roles"
/>

Attribute und Elemente

In den folgenden Abschnitten werden Attribute, untergeordnete Elemente sowie übergeordnete Elemente beschrieben.

Attribute

Attribut

Beschreibung

users

Erforderliches String-Attribut.

Eine durch Trennzeichen getrennte Liste von Benutzernamen, denen der Zugriff auf die Ressource verweigert wird. Ein Fragezeichen (?) verweigert anonymen Benutzern den Zugriff; bei einem Sternchen (*) wird allen Benutzerkonten der Zugriff verweigert.

roles

Erforderliches String-Attribut.

Eine durch Trennzeichen getrennte Liste von Rollen, denen der Zugriff verweigert wird.

verbs

Optionales String-Attribut.

Eine durch Trennzeichen getrennte Liste von HTTP-Übertragungsmethoden, denen der Zugriff auf die Ressource gestattet ist.

Zu den in ASP.NET registrierten Verben gehören GET, HEAD, POST und DEBUG.

Untergeordnete Elemente

Keine

Übergeordnete Elemente

Element

Beschreibung

configuration

Gibt das erforderliche Stammelement in jeder Konfigurationsdatei an, die von der Common Language Runtime und den .NET Framework-Anwendungen verwendet wird.

system.web

Gibt das Stammelement für die ASP.NET-Konfigurationseinstellungen in einer Konfigurationsdatei an und enthält Konfigurationselemente, die ASP.NET-Webanwendungen konfigurieren und das Verhalten der Anwendungen steuern.

authorization

Konfiguriert die Autorisierung einer Webanwendung. Das authorization-Element steuert den Clientzugriff auf URL-Ressourcen. Dieses Element kann auf jeder Ebene deklariert werden (Computer-, Site-, Anwendungs-, Unterverzeichnis- oder Seitenebene).

Hinweise

Das deny-Element fügt der im authorization-Element gespeicherten Zuordnung der Autorisierungsregeln eine Autorisierungsregel hinzu, die den Zugriff auf eine Ressource verweigert.

Das authorization-Element konfiguriert die Autorisierung für eine Webanwendung durch Kontrolle des Clientzugriffs auf URL-Ressourcen. Für die erforderlichen Attribute können Sie entweder das users-Attribut, das roles-Attribut oder beide verwenden.

Beginnend mit der lokal am nächsten liegenden Konfigurationsdatei durchläuft das Autorisierungsmodul zur Laufzeit die allow-Elemente und die deny-Elemente, bis es die erste Zugriffsregel findet, die auf ein bestimmtes Benutzerkonto zutrifft. Abhängig davon, ob es sich bei der ersten gefundenen Zugriffsregel um eine allow-Regel oder eine deny-Regel handelt, gewährt bzw. verweigert das Autorisierungsmodul den Zugriff auf die URL-Ressource. Als Standardautorisierungsregel gilt <allow users="*"/>. Standardmäßig ist der Zugriff also gestattet, solange die Konfiguration nicht geändert wird.

Um die Bereitstellung zu vereinfachen, wird die abkürzende Punktschreibweise (.) für den aktuellen Computer unterstützt. Dadurch kann jedem Benutzer oder jeder Rolle wie folgt eine Sequenz aus Punkt und umgekehrtem Schrägstrich (.\) vorangestellt werden:

<allow roles=".\roleName"/>
<allow users=".\userName"/>

Zur Laufzeit werden die Sequenzen aus Punkt und umgekehrtem Schrägstrich (.\) durch "localmachinename\" ersetzt. Die Ersetzung wird nur durchgeführt, wenn mit der Anforderung eine Windows-Identität verwendet wird. Dadurch werden Konflikte verhindert, wenn Sequenzen aus Punkt und umgekehrtem Schrägstrich (.\) in beliebigen Rollen mit benutzerdefinierten Prinzipalen verwendet werden.

Da das authorization-Element keine Auflistung darstellt, gibt es keine untergeordneten clear-Elemente und remove-Elemente. Um die Zuordnungen der Autorisierungsregeln zu löschen, verwenden Sie die Clear-Methode und die Remove-Methode, die von der AuthorizationRuleCollection-Klasse definiert werden.

Beispiel

Das folgende Codebeispiel zeigt, wie Sie allen Mitgliedern der Rolle Admins Zugriff gewähren und allen anderen Benutzerkonten den Zugriff verweigern.

<configuration>
  <system.web>
    <authorization>
      <allow roles="admins"/>
      <deny users="*"/>
    </authorization>
  </system.web>
</configuration>

Elementinformationen

Konfigurationsabschnittshandler

AuthorizationSection

Konfigurationsmember

AuthorizationRuleCollection

Konfigurierbare Speicherorte

Machine.config

Web.config auf der Stammebene

Web.config auf der Anwendungsebene

Web.config auf der Ebene virtueller oder physischer Verzeichnisse

Anforderungen

Microsoft Internetinformationsdienste (IIS), Version 5.0, 5.1 oder 6.0

.NET Framework, Version 1.0, 1.1 oder 2.0

Microsoft Visual Studio 2003 oder Visual Studio 2005

Siehe auch

Aufgaben

Gewusst wie: Konfigurieren von bestimmten Verzeichnissen mit Standorteinstellungen

Gewusst wie: Sperren von ASP.NET-Konfigurationseinstellungen

Konzepte

ASP.NET-Autorisierung

ASP.NET-Konfigurationsdateihierarchie und Vererbung

Absichern der ASP.NET-Konfiguration

ASP.NET-Konfigurationsszenarios

Referenz

authorization-Element (ASP.NET-Einstellungsschema)

allow-Element für authorization (ASP.NET-Einstellungsschema)

configuration-Element (allgemeines Einstellungsschema)

system.web-Element (ASP.NET-Einstellungsschema)

Weitere Ressourcen

Verwalten der Autorisierung mithilfe von Rollen

Allgemeine Konfigurationseinstellungen (ASP.NET)

ASP.NET-Konfigurationseinstellungen

Verwalten von ASP.NET-Websites

ASP.NET-Konfigurations-API