问题标签 [authorization]

我在绑定表单数据的操作上有一个“授权”属性。

如果用户提交表单但未获得授权，则会出现登录提示。登录后，用户被正确重定向，但模型为空。

如何处理？

抱歉，我找不到这个问题的最佳标题。以下是我的要求。

我正在从事一个项目，该项目将大量资金交易到不同的账户。系统会自动将资金转入 A、B、C 等账户，但在此之前，A、B 或 C 中的某个人应批准（电子方式）要转帐的金额。

你认为最好的方法是什么？我希望系统发送一个经过数字签名（？）的文件（某些东西的 PDF），来自 A、B 和 C 的授权人员应检查并确认金额是否正确。

由于金额很高，我必须确保系统发出的文件没有被篡改，同时我还要确保A，B或C发送的文件（回复）也没有被篡改。实现它的最佳方法是什么？有任何想法吗？

我正在开发一个 facebook 应用程序，我只是不了解他们的授权系统是如何工作的。

我们的基本设置是这样的

画布 URL = domain.com/facebook

这是一个简单的页面，其中包含一个指向 domain.com/facebook/app 的 FBML Iframe 元素，这是一个提供 Flash 应用程序的 HTML 页面。

Flash 应用程序从我们的应用程序服务器请求其他数据——其中一些请求请求 Facebook 数据（例如朋友 ID 列表）。

因此，Flash 然后向 domain.com/resources/facebook/friends 发出请求——这是一个 PHP 页面，它创建一个 Facebook 实例（他们的 PHP 库）并对其 API 执行必要的调用并返回数据。

但是，对这个 URL 的请求（通过 flash）没有验证，因此当它本身使用两个参数（auth_token和next ）重定向回我的画布 URL 时，它会被重定向到他们的登录名。所以请求是有效的，但是重定向会中断 flash 调用。

所以，我试图弄清楚如何让这些其他 API 调用（当他们自己 mace facebook API 调用时）从一开始就被 facebook-vaildated。

当用户登录时，我给他们一个名为 auth 的 cookie，其值是一个 GUID，它会在 2 周后过期。我将散列的 GUID 与他们的用户 ID 的盐一起保存在数据库中，然后在它到期时显示日期。当用户访问该站点时，我会检查 cookie 并在其匹配且未在数据库中过期时将其登录。

在 2 周结束之前的某个时间点，我正在考虑更新行并增加过期日期。你多久这样做一次？每个页面请求似乎都太频繁了，因为我会不断地写入用户表。

此时我也在考虑更改 auth cookie 的值。这样做的缺点是您无法在多台计算机/浏览器上进行身份验证。

我可以通过会话 cookie 来完成此操作，因此这种重写在每个会话中只发生一次。当用户访问一个页面时，我会检查一个名为 authenticated 的会话 cookie。如果它不存在，我给他们一个新的身份验证 cookie 值和身份验证会话 cookie，并增加数据库和身份验证 cookie 中的到期时间。如果是，我只是验证 auth cookie。

在您注销并重新登录之前，StackOverflow 似乎永远不会更改他们的身份验证 cookie。这似乎使其更容易受到会话劫持 - 如果您获得身份验证 cookie，您可以访问用户帐户，直到他们再次登录。由于他们的身份验证 cookie 不会过期或更改，因此您登录后不会注销用户。

• 您是否允许用户从多个位置/浏览器登录？
• 如果没有，您多久更改一次他们的身份验证令牌？

我的任务是构建一个基本的管理应用程序。该应用程序需要一个 ASP.NET 前端，它使用 WCF 与许多后端服务通信。

一项要求是应用程序的用户使用 Windows 身份验证进行身份验证。如果应用程序逻辑包含在 ASP.NET 应用程序中，我可以做到这一点，但我不知道如何在后端 WCF 服务中执行身份验证？

• 是否可以将凭据传递给 WCF 服务并让它执行身份验证？

我正在设计一个 RESTful Web 应用程序，它将为其他几个应用程序提供身份验证系统。其他应用程序将通过 HTTP 查询此应用程序并返回描述经过身份验证的用户的 XML。

身份验证应用程序需要跟踪允许哪些用户在哪些应用程序上执行什么操作。

我正在研究数据库模式。下面是我最初的设计。（假设每个表都有一id列。）

这个想法是说有人试图在“设备库存”应用程序中执行管理功能。因此，“设备库存”会对身份验证系统说“获取用户名 xxx 和密码 yyy 的用户”。然后它会查看返回的（通过 ActiveResource）User对象，并检查其roles数组是否包含Role名称为“ADMIN”且本身属于Application名称为“Equipment Inventory”的对象。

或者也许最好去掉applications表格并有更多的角色，例如，“ equipment_inventory_admin”、“ equipment_inventory_readonly”、“ job_tracker_admin”等。

更重要的是规范化Application实体还是简化表结构？也许在所有打字之后，我刚刚回答了我自己的问题，但我们非常欢迎您提出意见或建议。

在 RC1 之前，我们做了这样的事情：

现在已经没有了，我们如何使用 RC1 实现相同的结果？

谢谢，

凯尔

我的公司需要联合身份解决方案，作为 Microsoft 商店，我们希望使用 MS 技术来实现这一目标。

我们在生产中没有 Server 2008 或 .NET 3.5，因此我们仅限于基于 .NET 2.0/Server 2003 的解决方案。

这意味着（就联合身份解决方案而言）Active Directory 联合服务。

ADFS 看起来不错，因为它支持 WS-Federation 标准，这意味着我们可以与不使用 Microsoft 技术的合作伙伴进行联合。

不幸的是（对我们来说），微软即将发布基于 .NET 3.5 的身份框架，即日内瓦框架。

日内瓦框架似乎在各方面都优于 ADFS（主要是因为它是 ADFS 加上额外的功能和标准支持）。

由于我们不是 .NET 3.5 商店，并且 Geneva 仅处于测试阶段，因此目前这对我们来说不是一个可行的选择。

我的问题是：我们从 ADFS 搬到日内瓦有多难？

我们正处于 ADFS 的概念验证阶段，因此我们还没有开始深入研究从基于身份的授权转移到基于声明的 ADFS 所需的代码更改。我确信我们可以将这个逻辑放在一个可以更新以支持基于日内瓦声明的身份验证的程序集中。

除了所需的代码更改之外，将我们基于声明的基础架构从 ADFS 迁移到日内瓦会有多困难？（例如从 ADFS 的 STS（联合服务）迁移到日内瓦的 STS（日内瓦服务器））

感谢您对此主题的任何意见，非常感谢！

如何在 ASP（.NET 之前）中进行重定向，以将 Basic Authorization 标头作为 ASP 请求进行传输。我们尝试使用以下代码。

标头是在 .asp 的响应中设置的，但不会传递给对新页面的请求。有没有办法确保授权标头附加到结果请求？

我正在对基于 AJAX 的 Web 应用程序进行原型设计，该应用程序在 ASP.NET 上运行，我需要对站点的不同部分具有一般授权，并且还必须确保未经授权的用户不能调用各种 Web 方法/Web 服务（例如，来自 rouge html 页面）。

有什么我需要注意的吗，或者做的事情就像我在做常规的 ASP.NET 一样工作？

一组最佳实践或需要注意的事情会很棒。

一个附带问题，与 ASMX 相比，使用 WCF 可以获得什么？

问候，埃吉尔。