為什么AuthorizeAttribute會(huì)重定向到登錄頁(yè)面以進(jìn)行身份驗(yàn)證和授權(quán)失敗？在ASP.NET MVC中，您可以使用如下標(biāo)記控制器方法AuthorizeAttribute：[Authorize(Roles = "CanDeleteTags")]public void Delete(string tagName){     // ...}這意味著，如果當(dāng)前登錄的用戶不在“CanDeleteTags”角色中，則永遠(yuǎn)不會(huì)調(diào)用控制器方法。不幸的是，對(duì)于失敗，AuthorizeAttribute返回HttpUnauthorizedResult，它總是返回HTTP狀態(tài)代碼401.這導(dǎo)致重定向到登錄頁(yè)面。如果用戶未登錄，則這非常有意義。但是，如果用戶已登錄但未處于所需角色，則將其發(fā)送回登錄頁(yè)面會(huì)很困惑。似乎AuthorizeAttribute將身份驗(yàn)證和授權(quán)混為一談。這似乎是ASP.NET MVC的一個(gè)疏忽，或者我錯(cuò)過(guò)了什么？我不得不做一個(gè)DemandRoleAttribute將兩者分開(kāi)的東西。當(dāng)用戶未經(jīng)過(guò)身份驗(yàn)證時(shí)，它會(huì)返回HTTP 401，并將其發(fā)送到登錄頁(yè)面。當(dāng)用戶登錄但未處于所需角色時(shí)，它會(huì)創(chuàng)建一個(gè)NotAuthorizedResult。目前，這會(huì)重定向到錯(cuò)誤頁(yè)面。當(dāng)然我不必這樣做？