Partager via

deny, élément de authorization (Schéma des paramètres ASP.NET)

  • Article

Ajoute au mappage des règles d'autorisation une règle d'autorisation qui refuse l'accès à une ressource.

<deny 
  users="comma-separated list of users"
  roles="comma-separated list of roles"
/>

Attributs et éléments

Les sections suivantes décrivent des attributs, des éléments enfants et des éléments parents.

Attributs

Attribut

Description

users

Attribut String requis.

Liste avec la virgule comme séparateur de noms d'utilisateurs non autorisés à accéder à la ressource. Un point d'interrogation (?) refuse les utilisateurs anonymes et un astérisque (*) indique que l'accès est refusé à tous les comptes d'utilisateurs.

roles

Attribut String requis.

Liste avec la virgule comme séparateur des rôles non autorisés à accéder à la ressource.

verbs

Attribut String facultatif.

Liste avec la virgule comme séparateur des méthodes de transmission HTTP autorisées à accéder à la ressource.

Les verbes inscrits auprès d'ASP.NET sont GET, HEAD, POST et DEBUG.

Éléments enfants

Aucun

Éléments parents

Élément

Description

configuration

Spécifie l'élément racine requis dans chaque fichier de configuration utilisé par le Common Language Runtime et les applications .NET Framework.

system.web

Spécifie l'élément racine des paramètres de configuration ASP.NET dans un fichier de configuration et contient des éléments de configuration qui configurent des applications Web ASP.NET et contrôlent le comportement des applications.

authorization

Configure l'autorisation pour une application Web. L'élément authorization contrôle l'accès client aux ressources URL. Cet élément peut être déclaré à n'importe quel niveau (ordinateur, site, application, sous-répertoire ou page).

Notes

L'élément deny ajoute au mappage des règles d'autorisation stockées dans l'élément authorization, une règle d'autorisation qui refuse l'accès à une ressource.

L'élément authorization configure l'autorisation d'une application Web, pour le contrôle de l'accès client aux ressources URL. Pour les attributs requis, vous pouvez utiliser l'attribut users ou roles ou les deux.

Au moment de l'exécution, le module d'autorisation itère au sein des éléments allow et deny, en commençant par le fichier de configuration « le plus local », jusqu'à ce qu'il trouve la première règle d'accès correspondant à un compte d'utilisateur particulier. Ensuite, le module d'autorisation accorde ou refuse l'accès à une ressource URL selon que la première règle d'accès trouvée est une règle allow ou deny. La règle d'autorisation par défaut est <allow users="*"/>. En d'autres termes, l'accès est autorisé par défaut sauf configuration contraire.

Pour faciliter le déploiement, la notation raccourcie utilisant un point (.) pour représenter l'ordinateur actuel est prise en charge. Cela vous permet de faire précéder chaque utilisateur ou rôle d'un préfixe .\ (point-barre oblique inverse) comme suit :

<allow roles=".\roleName"/>
<allow users=".\userName"/>

Au moment de l'exécution, les séquences point-barre oblique inverse (.\) sont remplacées par des séquences "localmachinename\". La substitution est effectuée uniquement si une identité Windows est utilisée avec la requête. Cela permet d'éviter des conflits dans le cas où les séquences point-barre oblique inverse (.\) sont utilisées dans des rôles arbitraires avec des entités de sécurité personnalisées.

Dans la mesure où l'élément authorization ne représente pas une collection, il n'existe pas d'éléments enfants clear ou remove. Pour effacer les mappages des règles d'autorisation, utilisez les méthodes Clear et Remove définies par la classe AuthorizationRuleCollection.

Exemple

L'exemple de code suivant montre comment autoriser l'accès à tous les membres du rôle Admins et refuser l'accès à tous les autres comptes d'utilisateurs.

<configuration>
  <system.web>
    <authorization>
      <allow roles="admins"/>
      <deny users="*"/>
    </authorization>
  </system.web>
</configuration>

Informations sur les éléments

Gestionnaire de section de configuration

AuthorizationSection

Membre de configuration

AuthorizationRuleCollection

Emplacements configurables

Machine.config

Web.config racine

Web.config au niveau de l'application

Web.config de niveau répertoire virtuel ou physique

Configuration requise

Microsoft Internet Information Services (IIS) version 5.0, 5.1 ou 6.0

.NET Framework version 1.0, 1.1 ou 2.0

Microsoft Visual Studio 2003 ou Visual Studio 2005

Voir aussi

Tâches

Comment : configurer des répertoires spécifiques à l'aide des paramètres d'emplacement

Comment : verrouiller des paramètres de configuration ASP.NET

Référence

authorization, élément (Schéma des paramètres ASP.NET)

allow, élément de authorization (Schéma des paramètres ASP.NET)

configuration, élément (Schéma des paramètres généraux)

system.web, élément (Schéma des paramètres ASP.NET)

Concepts

Autorisation ASP.NET

Hiérarchie du fichier de configuration ASP.NET et héritage

Sécurisation de la configuration ASP.NET

Scénarios de configuration ASP.NET

Autres ressources

Gestion de l'autorisation à l'aide de rôles

Paramètres généraux de configuration (ASP.NET)

Paramètres de configuration ASP.NET

Administration de site Web ASP.NET

API de configuration ASP.NET