问题标签 [authorization]

我知道以前 有人 问过这类问题，但我的情况略有不同。

在我的 Rails 应用程序中，我必须针对现有存储库验证用户登录，然后控制对给定模块的授权。因此，我不希望我所寻求的解决方案为我的用户生成模型并依赖它。身份验证本身需要定制。

在这种情况下，最好使用什么插件？

我想[Authorize]在我的管理控制器中使用除操作之外的每个Login操作。

如何使用 MVC asp.net 获得授权？

我通常在我的项目中使用这些代码：

但我想控制角色，可以在数据库中看到这个按钮。

为此，数据库设计应该如何？

谢谢。

我是一名 C# 开发人员。我同时开发 Windows 和 Web 应用程序。我想构建一个具有基于角色的系统的 Winforms 应用程序。所有用户必须在角色/组中。然后我们将“查看、添加、更新……”等权限分配给角色/组。角色/组是动态的，所以我们让用户定义它。

是否有任何框架和好的示例项目来实现它？

我正在将 servlet 从 移植Tomcat 5.5到OC4J 10.1.3.1.

在Tomcat中我们设置了一个JDBCRealm用于认证和授权。这是通过$TOMCAT_HOME/conf/server.xml.

有没有类似的机制OC4J？我从哪里开始寻找它？我如何定义它？

这对我来说是一个长期存在的问题，我从来没有真正解决过，所以我想听听你的意见。如果我知道用户由于权限或对象状态不足而无法执行的操作，这些操作的 UI 元素应该对用户隐藏、可见但禁用，还是可见并在尝试时导致错误？你回答的理由是什么？如果禁用，您会说明原因吗？如果是，如何说明？

这是一个网络界面，所以我已经知道我需要检查传入的帖子/获取权限并在那里处理错误。我主要是在谈论如何处理 UI。

这类似于关于禁用或隐藏菜单项的规则，尽管我对所有类型的 UI 元素感兴趣，而不仅仅是菜单。

例子：

1. 我有一个允许用户创建新事件的新页面。事件可以是主事件或子事件。创建主事件需要“EditMasterEvent”权限，而创建子事件只需要“EditEvent”权限。我有一个下拉菜单，允许您选择现有事件作为父事件（主事件）或无父事件（这是主事件）。如果用户只有“EditEvent”权限，“创建主事件”选项应该显示在下拉列表中还是省略。

2. 删除事件需要您是应用程序管理员或对事件类型具有适当的编辑权限。在后一种情况下，事件也必须超过 5 年。删除事件会导致系统中相关数据的重大级联删除，出于法律原因，这些数据必须在事件发生后至少保留 5 年。由于该操作对于普通用户来说是很少见的，典型的情况是该操作不可用。应该始终显示还是仅在实际可能时显示？

我在从变量设置授权属性角色值时遇到问题。错误消息说它需要一个 const 变量。当我创建一个 const 类型变量时，它工作正常，但我正在尝试从 Web.Config 文件或其他任何允许最终用户设置它的文件中加载值。我正在使用集成的 Windows 身份验证，因为这是一个仅限 Intranet 的应用程序。

有没有办法从控制器检查用户角色？我将在 if 语句中使用它而不是属性来进行身份验证。

我正在做一个需要以下内容的项目。

• 服务器端的 WCF 服务 (.NET 3.5)
• 客户端的 WPF 客户端 (.NET 3.0)

我有一个现有的应用程序，我必须使用（在服务器端）的身份验证和授权。我还需要在 WCF 服务的线程主体（站点对象）中存储一些关于用户的元数据。我这样做是为了在必要时可以在 WCF 服务中使用它；一些业务逻辑可能需要它。所以我的计划是做以下......

为服务器创建一个自定义 ServiceAuthorizationManager，我将在其中登录用户并从现有应用程序中获取角色。我将缓存“站点”对象，并根据进一步的请求从缓存中提取。我还需要一个 CustomPrincipal 对象来保存我的自定义数据。我想模拟用户，以便可以使用 WCF 中的内置角色过滤，如下所示：

我尝试将 ASP.NET 授权与自定义角色提供程序一起使用，但无法在 Current Principal 上设置任何内容。我还尝试使用自定义 IAuthorizationPolicy，但出现了问题。这些问题涉及能够使用 WCFClient.exe 应用程序，当它发现（使用 mex 端点）时，它不会提供任何凭据，因此登录会失败。我最终决定 ServiceAuthorizationManager 是正确的方法，但我愿意接受其他建议。

在客户端上，我将收集凭据并将它们放入 WCF 代理类，如下所示。

当我开始走这条路时，我注意到我无法在我的管理器类的 CheckAccessCore 方法中获取用户名/密码。进一步调查表明，我真的应该在自定义 UserNamePasswordValidator 中进行身份验证。所以我创造了其中之一。问题是 validate 方法从未被调用过。

进一步调查表明，为了调用 validate 方法，我的 WCF 服务必须具有消息或传输级别的安全性。问题是我无法弄清楚如何在没有X.509证书的情况下获得消息或传输级别的安全性。该产品将进入数百台令人难以置信的锁定机器，并且无法安装证书。

有没有办法在不安装证书的情况下完成我的要求？

是否有任何用于身份验证/授权模式的最佳实践数据模型？