问题标签 [role-base-authorization]

在我的典型应用程序中，用户单击 aspx 页面中的按钮，调用 C# 业务对象，然后运行存储过程。

角色检查应该在堆栈顶部、堆栈底部还是在每个级别进行？似乎如果恶意用户可以调用一个方法，他可以调用任何方法，因此为了有效的安全性，您需要检查每个方法（并且要编写很多额外的代码）。

这是一个典型的调用堆栈来说明我的问题：

如果我的站点有多个用户角色，比如管理员、用户、经理，并且有几个功能模块可能被一个特定用户或所有用户使用，我应该如何命名我的控制器？

是否可以拥有基于角色的控制器（例如 Admin、User 和 Manager 控制器）以及用于共享功能的控制器（例如 Products 控制器）？

对于仅由一个用户角色使用的小部分功能，我可以将其保留在基于用户的控制器中，例如拥有产品类别的所有添加/删除/更新功能，我可以在管理控制器中拥有它还是应该拥有它自己的控制器，即使它只有几行代码？

在网上搜索有关这样做的约定时，我只提供了命名实际文件的方法，其他来源仅解释了控制器的功能，而不是什么应该和不应该是控制器。

如果这是主观的，我也很乐意将其作为答案，但就目前而言，我不确定什么是可以接受的，以及基于角色的控制器在 MVC 框架中是否可以接受。

在银行或类似应用程序中，通常定义了多个角色并需要相关的权限（例如，普通用户只能进行交易但不能发布，而主管可以验证和发布它们，有点像制作者/检查者）。我们还需要在系统中添加新的角色和权限（不确定后者）。

您如何在 Spring/Hibernate 应用程序中实现这种基于角色的访问？特别是在扩展以添加新角色/特权方面。Acegi （我从未使用过）可以提供帮助吗？任何其他可以帮助我实现上述目标的想法都将不胜感激。

谢谢，

场景：我设置了成员资格提供程序，并且它当前指向我机器上的 SQL 数据库。基于角色的访问有效，我有一个经过安全调整的菜单。用户只能访问他们有权访问的页面。

问题：当匿名用户试图访问他们无权访问的页面时，会将他们带到登录页面，以便他们可以登录。没事儿。但是，当登录用户尝试访问他们无权访问的页面（通常通过输入 URL）时，它会将他们带到登录页面再次要求他们登录（除非已经登录。我想要么将他们带到不同的页面或以某种方式告诉他们他们无权访问。有什么想法/建议吗？

提前致谢

我正在构建一个与用户身份验证相关的项目。

该项目是关于公司的任务经理。

公司包含多个部门，一个部门可以包含多个子部门，子部门也可以有子部门。

一个部门的经理可以创建/修改/删除其部门的任务。

其他人只能看到任务。

当他创建一个任务时，他应该指定操作员（谁来做这个工作）和充电器（谁来负责这个任务）。操作者和充电器应该属于某些特定的部门。

例如，有一个名为“department01”的部门，该部门包含两个子部门：“开发”和“设计”。

现在用户“John”是“development”的经理，所以他可以添加属于“development”的task，并选择属于“department01”的operator和chargers，因为“department01”是“development”的父级。

系统中还有其他一些角色，例如“department01”的老板，他可以看到所有属于“department01”的任务（包含“开发”和“设计”任务）。

在这种情况下，我认为基于角色的身份验证更好。

但是我在java中没有找到任何相关信息，所以请问有没有例子？

我学习了如何将容器身份验证与 JDBC 领域一起使用。我在互联网上搜索了很多，但除了以下文章外，我找不到任何关于 JSF 授权的内容。 JSF 授权

我的目标是避免使用直接链接访问受保护的页面，并根据经过身份验证的用户权限显示/隐藏菜单项和表单组件。最后一部分可以使用 JSF 标记的渲染属性来实现，但在创建我自己的肮脏和高耦合解决方案之前，我想知道是否有一些特定的最佳实践或库可以提供帮助。事实上，有条件渲染的组件数量非常多，我不想为每个组件编写一个特定的函数。也许我可以为每个经过身份验证的用户创建一个映射，其中包含所有条件渲染组件的名称（id）和一个带有字符串参数（组件的唯一名称/id）的单个函数。这是一个好主意吗 ？我有什么选择？我不会

谢谢菲利波

我正在为我的项目使用 vaadin。我已经使用 vaadin appfundation 插件实现了用户身份验证，我需要将角色基础访问（授权）应用于我的应用程序，但我不知道如何在 appfundation 中实现此功能，我在互联网上搜索了很多，但我找不到一个很好的例子，如果有人知道如何实现该功能，请告诉我，据我所知，我想实现资源，appfundation中的角色接口，请帮助我解决这个问题。Thnxx

我正在 ASP.NET Web-From 中设计一个需要Multilevel基于角色的授权和权限 (CRUD Operation) 的应用程序。

它需要在访问 Web-Forms 和对数据库的表单和表进行 CRUD 操作时对用户进行授权。

应用程序的管理员将能够确定哪些角色有权访问特定页面以及授权执行哪些操作。

我正在使用 ASP.NET Web-Form 4.0 和 Entity Framework 4.1 Database First 方法。

我熟悉 ASP.NET 2.0 Membership, Roles, Forms Authentication 。

我将不胜感激设计 Database 的任何建议或帮助。

我想使用 Orchard CMS 的角色和成员资格来限制对 Orchard CMS 中员工门户的访问。目前似乎没有开箱即用的方式来做到这一点。我发现了许多对应该能够提供帮助的模块的引用，但似乎没有一个有效。

非常简单的权限是一些人建议的一个 codeplex 项目，现在它有一个死链接，并且在 codeplex 上似乎不存在。科学项目： Quanta 每次我尝试安装它时都会破坏我的网站，但缺少 dll 问题，并且不确定它是否是我需要的。

有没有人对如何：使用标准菜单系统或高级菜单插件显示/隐藏基于角色的菜单项有任何指导

或者

根据角色限制内容可见性。如果它是一个很棒的模块，否则不介意用一些编码弄脏我的手，但是以正确的方式来做这种 mvc 风格会很棒。我假设我需要编辑菜单模块的控制器以检查当前成员资格并相应地调整视图数据。我正在远离网络表单。慢慢地。仍然让我对框架有所了解。

感谢您入住。

我正在创建一个带有Windows 身份验证的 ASP.NET MVC3 Intranet 应用程序。我只希望域用户使用这个应用程序。一旦域用户通过身份验证（使用Active Directory），我计划在 SQL Server 中创建用户（使用 AD 用户名）、角色和 UserRoles 表以进行授权。

因此，如果用户是具有某些权限集（访问控制器/操作）的角色的一部分，我应该只允许该角色中的用户执行/查看它们。

例如：如果有一个动作/Locations/Create，则被允许执行该动作的角色只能执行该动作。

有人可以给我一些指示吗？我应该创建一个自定义操作过滤器，并将过滤器属性用于我希望过滤器应用到的任何操作方法吗？