IIS Windows 身份验证 - 无法拒绝特定用户

Question

最近我开发了一个非常简单的.net核心API，然后将其部署在IIS上，想为一些用户启用Windows身份验证。为了能够实现它，我的 web.config 看起来像

<?xml version="1.0" encoding="utf-8"?>
<configuration>
  <system.web>
     <authentication mode="Windows" />
    <authorization>
      <allow users="Tow\USER1"/>
      <deny users="*"/>
    </authorization>
    </system.web>
    <location path="." inheritInChildApplications="false">
    <system.webServer>
      <handlers>
        <add name="aspNetCore" path="*" verb="*" modules="AspNetCoreModuleV2" resourceType="Unspecified" />
      </handlers>
      <aspNetCore processPath="dotnet" arguments=".\Oculus.WebApi.dll" stdoutLogEnabled="false" stdoutLogFile=".\logs\stdout" hostingModel="InProcess" />
    </system.webServer>

  </location>

</configuration>

可以看出，应该只允许User1访问，但每个人都可以访问。我的 IIS 身份验证如下所示：

有人可以帮忙吗？

Answer 1

从此，ASP.NET核心不支持也不使用web.config。已发布的 web.config 仅适用于 IIS 托管，因为 IIS 需要它。

一个变通的方法是你可以尝试放在system.webServer里面，它直接用于配置IIS。

<configuration>
  <system.webServer>
    <security>
      <authorization>
          <remove users = "*" roles="" verbs="" />
          <add accessType = "Allow" users="Tow\USER1"/>
      </authorization>
    </security>
  </system.webServer>
</configuration>

但是推荐的方法是你最好在asp.net core

中编写你自己的自定义授权策略

https://docs.microsoft.com/en-us/aspnet/web-api/overview/security/authentication-and-authorization-in-aspnet-web-api

https://docs.microsoft.com/en-us/aspnet/core/security/authorization/policies?view=aspnetcore-2.2