问题标签 [authorization]

我正在创建一个具有用户概念的 asp.net mvc 应用程序。每个用户都可以编辑自己的个人资料。例如：

• PersonID=1 可以通过访问http://localhost/person/edit/1来编辑他们的个人资料
• PersonID=2 可以通过访问http://localhost/person/edit/2来编辑他们的个人资料

那里没有什么特别令人兴奋的...

但是，我在授权方案上遇到了一些麻烦。目前系统中只有两个角色，“管理员”和“默认用户”，但未来可能会更多。

我不能使用常规的 Authorize 属性来指定授权，因为两个用户都处于相同的角色（即“DefaultUser”）。

所以，如果我像这样指定授权过滤器：

那么就没有效果了。PersonID=1 可以进入并编辑他们自己的个人资料（他们应该可以这样做），但他们也可以将 URL 更改为http://localhost/person/edit/2并且他们拥有编辑 PersonID=2 的完全权限profile 以及（他们不应该这样做）。

这是否意味着我必须创建自己的授权过滤器，在允许他们访问之前检查用户请求的操作是否“属于”他们？也就是说，如果当前登录的人正在请求参数= 1的编辑操作，我是否需要进行自定义检查以确保当前登录的人是PersonID = 1，如果是，授权他们，如果没有，拒绝访问？

感觉好像我在这里遗漏了一些明显的东西，所以任何指导都将不胜感激。

我的 CakePHP 应用程序中有一个问题：我将授权组件用于登录/注销机制。不幸的是，当用户尝试同时打开两个或多个 php 页面时，他们会自动注销。这种情况经常发生，因为我们倾向于使用鼠标中键在短时间内打开许多选项卡。

有人有想法吗？可能是 CakePHP 还是有允许用户同时发出多个请求的 php 设置？

乔治

我的 Controller 类装饰有 AuthorizeAttribute 以保护操作：

任何时候调用操作，但用户至少不是“用户级别 2”角色，用户会自动重定向到登录页面，其 URL 如下所示：

http://localhost:1436/Account/Login?ReturnUrl=%2fBuy

如果用户已经登录，但没有正确的安全级别，这不是最佳行为！显示一个通知用户缺少级别的页面而不是显示登录页面会更有意义。

我可以做些什么来自定义这种行为？

是否可以以某种方式将所需的用户级别传递给登录操作？

What is the best wiki engine with good authorization features?

我正在开发一个应用程序，其中对数据传输和访问的安全要求相当高。据我了解，Windows 身份验证是通过 Intranet 进行 TCP 的首选方法。

您如何处理不使用域且只有简单工作组可用的情况？（一些客户不会使用域来管理网络）。

是否足够使用交互式客户端详细信息（当前登录用户），或者我应该让他们单独重新输入他们的用户名和/或密码，否则我不是将安全性留给网络管理员以确保他们有适当的策略（即计算机在一段时间后被锁定）？这一点尤其重要，因为我知道有些用户很容易让他们的计算机保持登录状态，那么我如何确保帐户所有者是实际用户？

如果是这样，如果他们只是重新输入他们的身份验证详细信息，那么使用 Windows 身份验证而不是用户名/密码身份验证有什么意义？

谢谢

处理安全性的最佳实践是什么，即 Web 应用程序中的授权和身份验证？

我正在开发一个 Web 应用程序，使用 WCF 作为 SOA，将来我的应用程序中的单个组件更有可能与某些第三方应用程序集成。我正在寻找一种解决方案，通过它我可以使用我的应用程序的内部方法为我的应用程序处理授权和身份验证，并且我可以使用某些第三方应用程序提供的接口进行授权和身份验证。

我目前正在使用 WCF 并尝试实现基于 API 密钥和签名的自定义安全模型（类似于 Facebook/Flickr/OAuth 等的工作方式）。

有一些类，如 ServiceAuthorizationManager、SecurityToken、SecurityTokenValidator、IAuthorizationPolicy 等，但我似乎找不到任何关于这些如何协同工作或 WCF 概念安全模型的文档。

我真的在寻找详细说明这些类如何组合和协同工作的东西，这样我就可以了解在哪里提取凭据、在哪里验证它们是否正确、在哪里决定授予它们的访问级别等等。如果有一本关于这些东西的书我可以买，那就更好了，因为我发现的所有 WCF 书籍都完全跳过了所有这些东西。

那里有任何文件吗？

我目前正在尝试将rails-authorization插件集成到 rails 应用程序中。我已经完成了安装和设置步骤，但每次我尝试使用

或者

函数，我收到一个错误，提示'const missing，User#RolesUser'，它在插件中似乎没有任何用处（它使用角色模型和 RolesUsers 表）。有没有其他人遇到过这个问题？

Twitter ATOM 提要需要您的登录名和密码（显然），IE7 很好地支持了这一点（显然 IE7 无法使用 login/pw 处理 RSS 提要）。注册提要时，IE 会显示一个简单的登录提示。

如何在不访问服务器或 IIS 的情况下在 ASP.NET 中实现类似的功能？

我有一个 ASP.NET MVC 项目，其中包含一个 AdminController 类并给了我这样的 URls：

http://example.com/admin/AddCustomer

http://examle.com/Admin/ListCustomers

我想配置服务器/应用程序，以便包含/Admin的 URI 只能从 192.168.0.0/24 网络（即我们的 LAN）访问

我想将此控制器限制为只能从某些 IP 地址访问。

在 WebForms 下，/admin/ 是我可以在 IIS 中限制的物理文件夹……但对于 MVC，当然没有物理文件夹。这是否可以使用 web.config 或属性来实现，还是我需要拦截 HTTP 请求来实现这一点？