问题标签 [role-base-authorization]

我正在尝试为我的 Intranet 应用程序（Windows 身份验证）中的文件夹设置不同的身份验证和授权，如下所示。我尝试使用位置标签，但是当文件夹名称包含空格时它不起作用，否则一切正常。

<location path="parentfolder/appro logistique"> <system.web> <authorization> <allow roles="domain\groupename"/> <deny users="*"/> </authorization> </system.web> </location>

我该如何解决？谢谢你的帮助。

我有一个超级基本的电子商务应用程序，其中包含通过 Omniauth 验证的用户模型、带有名称和价格的产品模型以及 ShoppingCart 和 ShoppingCartItem 模型（使用acts_as_shopping_cartgem）。

我的问题是，当我让用户通过 Omniauth 提供商进行身份验证时，我想根据他们的身份验证对象提供折扣。

假设他们使用 facebook 登录 - 那么我想为他们提供 20% 的折扣。我不知道实际上该怎么做 - 我想我想在我的 Product 和 ShoppingCartItem 模型中编写这个业务逻辑，设置类似

但我无法current_user在模型中访问，因为它是由会话设置的。

我应该在可以访问 current_user 的控制器中执行此操作吗？然后我必须在控制器中打开 Product 和 ShoppingCartItem 类来覆盖他们的价格方法，这一切都感觉不对，坦率地说我不知道​​它是否会起作用。

The requirement is to develop a file management system with role based access. Suppose, there will be three types of users, User A, User B and User C. User C is under User B, User B is under User A. So, the files and directories assigned to User C, should be accessible by User B and A. Files and directories assigned to User B should be accessible by User A and not by User C.

Drupal 6 has amodule, named WebFM which deals all the requirements very fine. Unfortunately, there is not Drupal 7 version of WebFM. I need all the features a WebFM module has, like drag and drop, ajax uploading etc.

Any help or suggestion will be highly appreciated.

我正在使用spring boot，并且我在WebSecurityConfigurerAdapter中启用了全局方法安全性

下面是我的控制器代码

但是，当非管理员用户尝试执行 PUT 请求时，JSR303 验证器将在 @PreAuthorize 之前启动。例如，非管理员用户最终会得到类似“需要名字”而不是“拒绝访问”的内容。但是在用户提供名字变量以通过验证器后，拒绝访问被返回。

有谁知道如何在@Valid 或@Validated 之前强制检查@PreAuthorize？

而且我必须使用这种方法级别的授权而不是基于 url 的授权来执行一些复杂的规则检查。

我正在尝试了解 ASP.NET 身份验证和授权机制。我明白什么是主张和什么是角色。在几乎所有相关的博客文章或此处的问题中，建议使用声明并避免角色。在这一点上我很困惑。如何使用没有角色的声明？（我通常在用户注册后为其分配角色。）

任何帮助表示赞赏。

谢谢

我想在我的 ruby​​ 应用程序中添加双向授权，就像自由职业者用于工作和雇佣一样。是否有捷径可寻。在我的应用程序中，将有两种类型的用户买家和卖家。卖方将有权发布添加内容，买方可以对其进行投标。就这样

我已经构建了一个带有 asp.net 身份和不记名令牌身份验证的 web api。

我了解角色结果是真/假，并且声明是关于用户的更细粒度的陈述。

但是类型角色声明只是一个抽象的东西，就像“ProjectManager”之类的名称，它写在 NOWHERE 这个类型角色声明的权限是什么。我没有看到任何样本这样做，但在 2010 年存在索赔之前，我做了一个申请Roles N ---- M Permissions.

并且权限是

我在哪里可以看到这种带有角色声明的旧方法？

我有一个要求，我需要在我的 Spring Web 应用程序中检索角色信息和用户信息。信息将通过来自另一个应用程序的 HTTP 标头来，我需要解析该数据并在我的应用程序中使用。

我想要的是：

1. 当有人导航到我的 Web 应用程序时，请求标头将包含 ROLE 和 USER 数据，因此如何使用 Spring 安全性检索这些数据。

   例如：有一个网络应用程序，用户登录并进入应用程序，其中一个链接将出现在我的网络应用程序中，一旦单击，他们将导航到我的网络应用程序，我需要获取这些 ROLS 和用户信息。

2. 我想将该数据存储到某种会话中，以便我只能执行仅适用于该特定用户的那些操作。

您能告诉我如何实现该功能吗？谢谢。

我希望我的应用程序的用户能够动态创建角色并将权限分配给这些角色。因此角色模型不会被硬编码。不过，据我所知，权限确实必须进行硬编码（因为我将在应用程序逻辑中对他们的检查进行硬编码）

我看到的最好的方法是将角色保留在数据库中并动态创建它们并分配\取消分配权限。并且权限应该保存在一个数组（或散列或关联数组）中，并且只能由开发人员更改并且需要重新启动服务器。

一切似乎都很好，但我想了解一些基于权限的授权的最佳实践（我可以找到很多关于基于角色的授权，而不是基于权限的）以及任何可能的缺点。

此外，我还找不到管理“级别”权限的最佳方法。例如，我拥有名为：“充当管理员”、“管理用户”、“创建/读取/更新/删除用户”的权限

我想让具有“作为管理员”权限的角色执行所有操作（经理用户、CRUD 用户等）。具有“管理用户”权限的角色 - 自动可以 CRUD 用户。这种方法更好，因为它不需要检查很多“或”条件（可以充当管理员，或者可以管理用户，或者可以 CRUD 用户......）

但是为此目的，我应该如何将权限哈希（数组等）保存在内存中？

我想，这个问题与语言/框架/等无关，所以我不会添加这样的标签

我已经将 Identity Server 3 与 Membership 重新启动数据库设置为我的授权服务器，并且还开发了一个 Web Api 项目，该项目将由一个 javascript Web 应用程序访问。

使用隐式流，客户端能够登录并获得 id_token 和 access_token。现在我有几个问题，我也希望得到一些详细的答案：

1. id_token 的功能是什么？得到它后，我能用它做什么？

2. 用户的角色作为声明存储在数据库中（例如，“role”、“admin”的键值）。此时如何执行基于角色的授权？似乎 id_token 包含这些声明，但 access_token 没有。在我的 Api 请求中将我的 access_token 作为 Bearer 发送时，api 如何知道发送用户具有哪些角色？

3. 在 web api 控制器中，我想使用以下方式访问用户的信息：

   var user = 作为 ClaimsPrincipal 的用户；

使用此代码，我几乎无法获得有关用户的任何信息；用户名、id 等。此外，当我user.Claims在控制器中使用时，我无法访问存储在数据库中的声明。怎么会有两组声明，一组在数据库中，一组在令牌中？！

非常感谢任何额外的信息。