问题标签 [security-roles]

好的，

我知道我做错了什么——但想不出更好的方法。我正在开发一个允许用户设置自己的迷你网站的网站。

宁之类的。此外，我只有 1 个基本登录名，并且（现在）通过角色提供对每个迷你网站的访问权限。

所以我现在这样做的方式是：

每次创建一个新的迷你网站 - 比如说等等，我都会在我的应用程序中创建 2 个角色。 blah_users和blah_admin

创建迷你网站的用户被赋予角色 - blah_admin 并且每个想要加入这个迷你网站（或网络）的其他用户被赋予角色 - blah_user。

任何人都可以查看来自任何网站的数据。但是要添加数据，必须是该迷你站点的成员（必须分配 blah_user 角色）

我面临的问题是，通过做一个基于角色的系统，我不得不手动做很多事情。在 User.IsAunthenticated 属性上工作的 Asp.Net 2 控件现在对我来说基本上没用，因为除了 IsAuthenticated 属性之外，我还必须检查用户是否具有适当的角色。

我猜有更好的方法来构建系统，但我不确定如何。有任何想法吗？

该网站正在 IIS 6 上的 ASP.Net 2 中开发。非常感谢！

我在 J2EE 服务器上有各种 EJB，具有不同的安全角色。

现在，从 Java Swing 客户端应用程序中，当我将用户登录到服务器时，我想发现用户可以访问这些 EJB 中的哪些，而无需实际尝试创建或调用它们。

我想这样做的原因是根据可用的 EJB 来调整用户界面。

例如，如果当前用户可以使用“AdministerMetadata”EJB，我想显示一个用于管理元数据等的菜单选项。

我可以从客户端中已知 EJB 的预定义列表中进行查询，因此我不需要它是完全动态的。

我不想创建一个特殊的 EJB 来仅返回此访问信息，并且我想避免不得不尝试调用方法并捕获异常来进行发现。

我计划在 JBoss 上使用该解决方案，但如果可能的话，我更喜欢标准解决方案。

这可能吗？如果有怎么办？

我们当前的 Intranet 环境有点过时了。当前堆栈具有针对 SQL 2000 数据库进行查询的 ASP.NET 1.1/2.0 应用程序。

为了角色安全，用户加入的服务器上有用户组（所以需要在测试和生产机器上加入组）。这些用户组被同步到 SQL 2000 本身的用户角色中。根据需要向角色授予对存储过程的执行权限，以防止任何访问冲突。

在 Web 应用程序级别，我们使用基本身份验证（针对我们的 Active Directory 进行身份验证）并打开身份模拟。到数据库的连接字符串使用集成安全性。这将创建一个环境，其中 Web 应用程序在用户登录时连接到数据库，这将对被调用的存储过程强制执行数据库安全性。它还允许我们使用典型的 User.IsInRole() 方法在应用程序本身内执行授权。

这有几个问题。首先是只有我们的服务器管理员才能访问机器上的用户组，因此更新角色安全性或添加其他用户不在应用程序管理员的控制范围内。此外，获得该角色的唯一方法是调用一个名为“xp_logininfo”的 SQL 过程，该过程在 SQL 2005 中被锁定。虽然我不知道全部细节，但我们的 DBA 告诉我们这个通用模型不起作用考虑到较新版本中模式的性质，SQL 2005 很好。

现在我们已经准备好更新我们的环境了。我们正在编写 .NET 3.5 应用程序以利用更多 AJAX，而 SQL Server 2005 是我们数据库的主要环境。我们正在寻求更新安全模型，以便为应用程序管理员提供更灵活的服务，并可能更多地利用 Active Directory。

我们还有一个担忧是给定用户很可能可以访问多个应用程序，因此拥有某种集中式解决方案是最佳选择，这样我们就可以在需要时轻松删除用户。

在这种环境中维护角色安全的最佳实践是什么？

在我的在线商店中，允许用户更改其订单的某些属性（例如，他们的帐单地址），但不能更改其他属性（例如，发起 IP 地址）。另一方面，管理员可以修改所有订单属性。

鉴于此，我如何使用它:attr_accessible来正确保护我的 Order 模型？或者我是否必须使用它来标记管理员可以修改的所有属性，以及Order.update_attributes(params[:order])在普通用户可以访问的控制器操作中避免使用的所有属性？

我有一个具有多个角色的 ASP.Net 网站，每个角色都可以访问一个单独的目录（即管理员用户可以访问 /admin，购物者可以访问 /shop 等），使用共享登录页面。如果有人访问登录页面，返回 URL 设置为他们无权访问的目录（例如，购物者访问 /login.aspx?returnurl=/admin/index.aspx），则用户可以成功验证（登录凭据为有效），但他们最终回到登录页面（他们无权访问他们请求的页面）。

我该如何选择它，以便向用户显示一条消息？

如何配置托管在 IIS 7 中的 wcf 服务以仅允许定义的用户/组访问。

现有配置：

然后，我想在 web.config 或文件系统中的文件或文件夹中配置权限（用户或组）。

我想限制对特定 url 的访问，除非用户是 2 个不同角色的成员。在这种情况下，如果用户同时具有报告和存档角色，我只想授予对此 url 的访问权限。有没有办法在 ASP.net 中做到这一点？

我想要这样的东西：

我想向一些用户公开 Web 部件，但不是所有用户。如何在“添加 Web 部件”弹出窗口中显示或隐藏 Web 部件？我想通过代码来做到这一点，我希望使用 SharePoint 角色来实现这一点。

先决条件：

有用 Delphi32 编写的客户端/服务器应用程序。RDBMS 是 SQL Server 2005。某些应用程序功能需要在目标数据库中创建/删除触发器（从应用程序使用 ad hoc DDL 语句）。

问题：

如果用户属于角色 sysadmin，则创建/删除触发器没有问题。但是，这被认为对于应用程序用户来说是一个过于宽松的角色。

问题：

• 可用于创建/删除触发器的最低标准（即最严格的）SQL Server 角色是什么？
• 创建自定义角色而不是使用标准角色会构成解决此问题的更细粒度的方法吗？

我实现了 ASP.NET 安全模型，并根据用户在 web.config 中的角色允许/拒绝访问他们，例如

当我尝试访问我无权访问的页面时，它会提示我登录，但我已经登录，如果我再次尝试登录，它只会显示一个登录控件，因为我没有正确的基于我的角色的权限，但是我如何向用户显示更有意义的消息，即。“您没有足够的权限查看此页面。” 而不仅仅是登录控制？