问题标签 [security-roles]

我知道 sysadmin 被记录为创建登录所必需的服务器角色（SQL/Windows 集成）；尽管如此，我的任务是找出是否有任何其他服务器角色（内置或其他）可以使用。

具体来说，我希望设置一个或两个登录名来创建登录名、创建 [数据库] 用户、将用户分配给 [数据库] 角色。可能会重置密码，但大多数登录都是 Windows 集成的，没有必要。根本无法访问数据，这些登录名也无权更新表或创建/更新角色。

到目前为止，似乎我唯一的选择是使用 securityadmin 服务器角色设置这 2 个登录名，对于特定数据库，使用 db_securityadmin 和 db_accessadmin 进行配置...但是此配置不允许创建登录名。

所以，我想在 MVC2 中实现我自己的自定义授权系统。

如果我必须创建一个全局类，我在哪里实例化它？可以使用我自己的添加来扩展 HttpContext 吗？我在哪里可以做到这一点？我应该使用授权过滤器进行权限验证或 ActionFilters 还是在操作中执行？ActionFilter 可以将任何数据传递给操作本身吗？

以前（在 WebForms 中）我使用的是 Session 对象，我会在其中放置一个包含基本用户数据（帐户 ID 和角色和权限列表）的序列化对象，并且我会扩展我自己的 Page 类。

在我的WPF 桌面示例书店应用程序中，我想管理用户和角色。有多个用户我想达到以下几点

1) 应用程序应该有多个用户
2) 用户有 3 个类别 a) 管理员 b) 经理 c) 员工
3) 应用程序可以有多个角色，例如添加书籍、销售书籍、更新库存、生成采购订单等
4) 用户应该能够分配和删除层次结构中较低的其他用户的角色。理想的用户层次结构就像：-

a) 管理员 - TOP 拥有完全权限
b) 经理 - 由管理员添加和删除角色
c) 员工 - 由经理/管理员添加和删除角色。

我需要方法来实现它。方法应该灵活，以便将来角色和用户添加/删除将很容易；无需更改数据库结构和额外的代码行。高级经理可以轻松地将角色分配给单个员工。

先驱：我现在在两个环境中工作过，这方面的原则相互冲突。我正在概述相互竞争的想法，并想知道在所描述的情况下哪个是“正确的”。

场景：我们的 Intranet 上存在多个应用程序。我们正在使用 LDAP 作为我们的身份验证控制和用户目录来实施 OpenSSO。问题来了，通过 LDAP 身份验证，我们知道允许用户访问 Intranet，但对哪些应用程序存在疑问。

我们打算使用 LDAP 来控制每个用户可以访问哪些应用程序，即帮助台、顾问审查、报告生成器、调查创建者等。

问题在于，在每个应用程序中都有大量的角色，而且人们可能有多个角色。

解决第二个领域的最佳方法是什么？应该所有角色都在 ldap 中，还是只是应用程序允许，每个应用程序数据库都包含更细化的角色？

在 Spring 拦截 url 配置中 ROLE_USER 和 ROLE_ANONYMOUS 有什么区别，例如下面的示例？

首先，我的开发环境：装有 Visual Studio Professional 2010 的 Win7 笔记本电脑。未安装IIS 。

我正在尝试通过 ASP.NET 配置工具打开并设置一些用户管理角色，如 MVCMusicStore 教程中所示。当我单击“安全”选项卡时，出现以下错误：

“您选择的数据存储存在问题。这可能是由于服务器名称或凭据无效，或权限不足造成的。也可能是未启用角色管理器功能。单击下面的按钮重定向到您可以在其中选择新数据存储的页面。

以下消息可能有助于诊断问题：无法加载类型“HandiGamer.MvcApplication”。"

当我单击“下面的按钮”时，它告诉我我正在使用 AspNetSqlProvider 作为我的提供程序。当我尝试测试它时，它告诉我：

“无法建立与数据库的连接。如果尚未创建 SQL Server 数据库，请退出网站管理工具，使用 aspnet_regsql 命令行实用程序创建和配置数据库，然后返回此工具进行设置提供者。”

事情是这样的：

1. 当我通过调试器运行 MVCMusicStore 演示时，它的角色/用户管理工作。我可以将自己添加为客户，并从我的购物车中添加/删除商品。 尽管如此，当我尝试使用配置工具时，我得到了同样的错误。

2. 我实际上已经在我的 SQL Server 2008 Express 副本上运行了 aspnet_regsql。它为用户管理创建了必要的表。仍然没有解决我的问题。

我只是想知道我是否遗漏了一些明显的东西，因为教程本质上说“单击两个按钮就可以了。” 它从字面上没有说明为此设置数据库。

我只是在这一点上难住了。角色/用户管理有效（MVCMusicStore 证明有效），但配置工具不允许我打开、设置或以其他方式编辑它的工作方式。它变得非常令人沮丧。任何帮助将不胜感激。

编辑：我的 web.config 如下 -

我正在实现系统，它使用基于角色的访问类中的不同方法。例如，要执行任何操作，我需要检查使用它的用户是否可以执行此操作。

我可以在每种方法中写：

我正在考虑通过向此方法或任何其他解决方案添加属性来自动化此过程？

我的工作需要一些建议。

在我的计算机中，我安装了 VS2010 和 SQL Server 2008 Developer，并具有名为 MYCOMPUTER 的自定义实例名称。如果我需要转移使用 ASP.NET MVC 2 创建的项目工作，当然我还可以通过 VS2010:s 接口创建一个数据库，从我的计算机到另一台装有 VS2010 和 SQL Server 2008 轻型版本的计算机一个名为 SQLEXPRESS 的实例，会不会很麻烦？

我还听说，如果您通过 VS 在 ASP.net 中创建了角色，并且由于数据库定义的角色，与 SS 2008 Developer 相关的错误消息或问题可能会更多。这是真的吗？

// 全金属男孩

我一直想知道为什么数据库角色列表（db_datareader、db_datawriter、db_ddladmin等）从未包含db_storedprocedureexecutor. 其他是有道理的，但似乎能够将执行所有存储过程的能力授予特定用户（不授予它们db_owner，这是完成同一件事的唯一其他方法）将是一件方便的事情。

例如，假设我想给我所有的开发人员运行存储过程的权利，同时不让他们执行任何 DDL - 没有在每个存储过程上明确授予 EXECUTE （然后记住在部署其他 SP 时添加新的） , 没有办法做到这一点（我知道 SP 可以包含 DDL，因此它们可能仍被间接允许以这种方式访问​​ DDL）。

如果我有一个应用程序服务帐户和许多与我的应用程序一起使用的存储过程，我必须明确地向每个 SP 授予权限（因为我不想授予我的应用程序服务帐户 DBO），而我可以使用角色以允许他们更新/删除他们想要的任何内容。

虽然最初看起来很明显，但我现在不确定为什么数据库服务器中缺少这个角色 - 任何人都可以解释为什么这是一个糟糕的想法（我认为它是，或者它已经存在）？

编辑：

似乎我不是唯一一个有这种期望的人——它已经使用了一些 T-SQL（似乎你可以授予一揽子 EXECUTE 权利，我不知道你可以这样做），这让我想知道为什么不标准！

我有一个棘手的要求，我需要根据查看产品的用户的状态对附加到产品、可供下载的文档进行分类。即我的站点显示一个产品列表，点击一个显示一个产品详情页面，该页面包括一个与产品相关的文档的列表，例如数据表、用户手册等。

我被要求将文档分为三类可用性，即所有用户均可免费使用的文档，包括匿名用户；可供登录用户使用的；以及那些在下载文档之前提供联系信息的匿名用户可用的，大概是为了增加销售线索。

匿名和登录的可用性很容易，但第三个对我来说似乎有点棘手。我的第一个问题是，有没有一种方法可以过滤仅登录用户的文档而无需连接到 ItemDataBound 或其他东西，我的第二个问题是，对于用户必须提供联系信息才能下载文档的情况，推荐什么？

在第二个问题中，我想到了实际注册用户，但无需他们访问新的用户注册页面，然后我就有了基于角色的文档过滤。目前，新用户注册过程会自动将 Member 角色添加到所有新用户。我“安静地”注册的用户，只是为了让他们可以下载文档，不会被分配成员角色，将他们与正常登录的成员区分开来。我还可以采取哪些其他方法？