왜

왜 다음 예에 포함되어 있습니까?

---

?동안 와일드 카드는 인증되지 않은 사용자를 대표하는 *모든 사용자를 나타냅니다 인증 및 인증되지 않은. 내 책은 다음 URL 인증의 예를 보여줍니다.

<authorization>
  <deny users="?" />
  <allow users="dan,matthew" />
  <deny users="*" />
</authorization>

그러나 위의 코드는 다음과 같은 효과가 없습니다.

<authorization>
  <allow users="dan,matthew" />
  <deny users="*" />
</authorization>

아니면 저자도 <deny users="?" />이유 때문에 규칙을 포함 시켰습니까?

---

ASP.NET은 우선 순위에 따라 구성 파일의 액세스 권한을 부여합니다. 충돌 가능성이있는 경우 첫 번째 부여가 우선합니다. 그래서,

deny user="?" 

익명 사용자에 대한 액세스를 거부합니다. 그때

allow users="dan,matthew" 

해당 사용자에게 액세스 권한을 부여합니다. 마지막으로 모든 사람에 대한 액세스를 거부합니다. 단, 매튜를 제외한 모든 사람이 접근이 거부됨에 따라 이것은 흔들립니다

추가하기 위해 편집 됨 : 그리고 @Deviant가 지적했듯이, 마지막 항목에는 인증되지 않은 항목도 포함되기 때문에 인증되지 않은 항목에 대한 액세스를 거부하는 것은 의미가 없습니다. 이 주제를 다루는 좋은 블로그 항목은 다음에서 찾을 수 있습니다. Guru Sarkar의 블로그

---

"런타임에 권한 부여 모듈은 권한 부여 모듈이 특정 사용자 계정에 맞는 첫 번째 액세스 규칙을 찾을 때까지 대부분의 로컬 구성 파일에서 시작하여 허용 및 거부 요소를 반복합니다. 그런 다음 권한 부여 모듈은 액세스를 허용하거나 거부합니다. 검색된 첫 번째 액세스 규칙이 허용 또는 거부 규칙인지 여부에 따라 URL 리소스입니다. 기본 인증 규칙은입니다. 따라서 별도로 구성하지 않는 한 기본적으로 액세스가 허용됩니다. "

MSDN의 기사

deny = * means deny everyone
deny = ? means deny unauthenticated users

첫 번째 예에서 deny *는 이전 규칙에 의해 이미 허용되었으므로 dan, matthew에 영향을 미치지 않습니다.

문서에 따르면 두 가지 규칙 세트에는 차이가 없습니다.

---

예제 1은 양식 인증을 사용하는 asp.net 애플리케이션에 대한 것입니다. 사용자는 일부 보안 모듈에 대한 인증이 될 때까지 인증되지 않기 때문에 이는 인터넷 응용 프로그램의 일반적인 관행입니다.

예제 2는 Windows 인증을 사용하는 asp.net 응용 프로그램입니다. Windows 인증은 Active Directory를 사용하여 사용자를 인증합니다. 애플리케이션에 대한 액세스를 차단합니다. 인트라넷 응용 프로그램에서이 기능을 사용합니다.

---

다음 두 링크를 참조하십시오.

권한 부여를위한 요소 거부 (ASP.NET 설정 스키마) http://msdn.microsoft.com/en-us/library/vstudio/8aeskccd%28v=vs.100%29.aspx

권한 부여를위한 allow 요소 (ASP.NET 설정 스키마) : http://msdn.microsoft.com/en-us/library/vstudio/acsd09b0%28v=vs.100%29.aspx

참고 URL : https://stackoverflow.com/questions/831994/why-is-deny-users-included-in-the-following-example