保護ELMAH文件

Question

我試圖僅允許垂直登錄訪問elmah.axd文件，而所有其他登錄都應被拒絕。 我遵循了Phil Haack的教程來保護文件。

<httpHandlers>
            <remove verb="*" path="*.asmx"/>
            <add verb="*" path="*.asmx" validate="false" type="System.Web.Script.Services.ScriptHandlerFactory, System.Web.Extensions, Version=3.5.0.0, Culture=neutral, PublicKeyToken=31BF3856AD364E35"/>
            <add verb="*" path="*_AppService.axd" validate="false" type="System.Web.Script.Services.ScriptHandlerFactory, System.Web.Extensions, Version=3.5.0.0, Culture=neutral, PublicKeyToken=31BF3856AD364E35"/>
            <add verb="GET,HEAD" path="ScriptResource.axd" type="System.Web.Handlers.ScriptResourceHandler, System.Web.Extensions, Version=3.5.0.0, Culture=neutral, PublicKeyToken=31BF3856AD364E35" validate="false"/>
            <add verb="POST,GET,HEAD" path="admin/elmah.axd" type="Elmah.ErrorLogPageFactory, Elmah" />
        </httpHandlers>

<location path="admin">
    <system.web>
        <authorization>
            <allow users="admin@testing.com"/>
            <deny users="*"/>
        </authorization>
    </system.web>
</location>

首先，我以user@testing.com的身份登錄，並嘗試訪問http：// localhost：58961 / admin / elmah.axd文件，然后正確地將我重定向到Login.aspx頁面。 接下來，我以admin@testing.com的身份登錄，並能夠訪問位於http：// localhost：58961 / admin / elmah.axd的elmah文件 。 現在，我以user@testing.com的身份再次登錄，現在可以訪問emlah文件。 這種行為的原因是什么？

Answer 1

看來您的“ admin@testing.com”帳戶中仍有有效的會話密鑰。 這可能是從瀏覽器窗口或asp.net處理身份驗證的方式。

有時可能會出現asp.net身份驗證票證在市場上過期，但是cookie尚未過期的情況（由於到期日的滑動）