问题标签 [authorize]

我有一个网站，可以向经过身份验证的用户授予对各种形式（PDF、MP3、MP4 等）内容的访问权限。该网站是由 LAMP 上的第 3 方开发人员为我开发的。用户使用存储在 MySQL 数据库中的用户名/密码向应用程序进行身份验证。它们不使用 Apache、MySQL 或任何其他机制进行身份验证。

最近，对该站点的渗透测试发现了一些明显的漏洞。让我摸不着头脑的是下载javascript文件的身份验证要求。显然浏览器需要访问这个 JS 内容才能使应用程序运行，这意味着至少公开一些文件。

我的问题是：有没有办法阻止尚未登录应用程序的用户访问某些文件？

我已经看到了一些解决方案，例如.htaccess为内容文件建议的版本。例如

如果我将 JS 代码拆分为公共/私有文件夹，有没有办法以这种方式提供 java-script 而不仅仅是批发？这适用于javascript吗？

谢谢

我通过覆盖AuthorizeAttributeto do custom authorization 在 ASP.NET MVC4 中实现了自定义授权属性。我想在某些控制器和控制器操作上实现此功能，以使它们拒绝未经授权的请求，例如未登录的用户和/或某些权限问题。我不想实现 asp.net 成员资格和授权，代码如下：

在调用该OnAuthoriztion方法之前一切正常。问题是我的自定义属性activities和roles所有其他变量变为空或无效我不明白为什么会发生这种情况。OnAuthorization所有这些变量都被初始化，但是当它到达函数时它们都变为无效。

I would like to understand briefly how the authorize filter and FormAuthentication.SetAuthCookie work under the hood. It's the only thing I find ambiguous after reading some books on the language.

I don't understand how the authorize filter knows where to look. And what about FormsAuthenticationTicket VS FormAuthentication ? And is cookie the most secure way, I mean I'm sure it's possible to export the cookie from a browser and use it somewhere else..?

没有 paypal 帐户的用户是否可以使用 Authorization & Capture 支付功能？我的用户是否必须拥有一个帐户？我有一个企业帐户。提前致谢。

Am thinking of using this bit of code here to call a WebService and have it populate into a JS file as well for calling the Webservice Methods.

But the problem is the webservice needs a username and password before it will return anything. How do I use this bit of code for a username and password to Authenticate it?

那是我的代码homecontroller。

我想通过使用此 url 访问FB_InviteFriends()方法public/unAuthorized用户： /Home/yourzone/FB_InviteFriends 但由于 [Authorize] 属性，它会将我重定向到登录页面。现在我的问题是，有什么方法可以避免授权，而无需删除[Authorize]我需要的属性yourzone。任何global.asax过滤器 任何可能有帮助的路由过滤器。

我只是在 Visual Studio 2013 中开发我的第一个 Web API 2 单页应用程序。当我开始使用该项目时，我选择了身份验证：个人帐户。因此，当我构建解决方案时，出现了登录表单。我注册了一个用户，我可以成功登录。

我的控制器可以使用了，我把它放在[authorize]-Attribute我的请求前面。

当我没有登录并导航到我的请求时，它会向我显示错误消息：

这很好，但是当我登录并再次导航到请求时，它仍然向我显示相同的消息。

控制器本身在没有[authorize]-attribute.

我对这个主题真的很陌生，我找不到任何关于如何连接内置登录和授权我的请求的信息。我希望你能帮帮我。

编辑：

我刚刚发现了身份验证和授权的区别。首先是为了识别用户，其次是为了给他做任何事情的权利......

所以我尝试[Authorize(Users="Username")]了，但它不起作用。（它也应该适用[Authorize]，因为因此您授权所有用户？？）

我的申请有什么问题？:(

编辑2：

我仍在寻找如何将 access_token 放入标题中！:(

我在 ServiceStack 上有一些服务，并在这个项目中使用 SignalR。

现在，我想保护集线器连接（仅对经过身份验证的用户访问），但我使用 ServiceStack 框架身份验证..（不是 asp.net 身份验证）和 ServiceStack 的会话（在此会话和身份验证标志中写入 AuthUserId）。

因此，当用户尝试连接到集线器时——集线器必须检查身份验证...

（是的，我可以从 Hub 请求 Cookie（例如方法 OnConnected），但 SignalR 在 Authorize Attribute 中检查身份验证 - 我必须在此类中进行（而不是在 hub 中）

（http://www.asp.net/signalr/overview/signalr-20/security/hub-authorization）

所以，我创建类

我能为它做些什么？谢谢！

假设我想制作一个应用程序，用户可以将私人文件上传到基于 laravel 的网站。我不想公开他们的文件，但我希望他们能够在登录后下载文件。

所以我需要验证他们是否已经登录，并且他们有正确的帐户 ID 来下载特定文件。如何创建此限制？

我一直在寻找http://laravel.com/docs没有成功，通过谷歌搜索我只能获得一些普通的 PHP 示例，但是集成到 laravel 中似乎很乱，你建议我用哪种方式这个？

我的头脑中的情况可能过于复杂，也许我可以在数据库中创建一个包含帐户 ID 和文件路径的表，并使用 Response::download($pathToFile); 并使用 .htaccess 限制上传的文件夹不允许？

（假设 laravel Response::download 方法绕过 .htaccess）但即使这项工作可能最好找到一种方法来做到这一点而无需 .htaccess 思想？

编辑 我想我只是将数据库中的文件存储为 blob，然后从那里加载它。这样我就可以轻松地进行授权验证。

我对 .net 相当陌生，我正在尝试创建一个 restfull 服务，您可以在其中通过 OAuth2 对 facebook 等服务进行身份验证，也可以使用“普通帐户”登录。VS2013 的 SPA 模板让我可以快速轻松地完成此操作，我对此非常满意。

现在我面临一个不同的问题。我似乎无法找到一种方法来分离对这些不同类型的登录的访问。例如，我想只允许来自 oauth 身份验证方法的用户访问 X，而以“正常方式”（也使用不记名令牌）进行身份验证的用户只能看到 Y。

我在网上搜索，似乎我应该使用 [Authorize] 标签，但我不确定如何自定义它，也不确定如何区分不同的登录名。我发现了不同的自定义标签的方法，但似乎都没有奏效，而且我不断地遇到过时的解决方案。

任何人都可以帮忙吗？

谢谢！

我的最终解决方案（感谢 0leg）

为每种身份验证类型创建了一个授权标签：

然后，在帐户控制员处，我在GetExternalLogin处添加了声明

在每次登录之前。