设计一个相当复杂的网站，在单个页面上运行大量 ajax。我已经到了一些用户需要有特定权限才能做事而一些用户需要停止操作的地步。我已经在我的数据库中设置了用户角色并且一切正常，但我想知道是否有一种更简单/更安全的方法来存储每个权限。

目前，当用户登录时，他们的特定权限会从数据库中获取并加载到会话数组中。要检查用户是否有权限，我只需检查权限是否包含在数组中。这似乎很缓慢，几乎就像我错过了一个更好的解决方案。

此外，会话显然可以由用户编辑......有没有更安全的方法？

我曾想过为每个检查运行一个查询，但这可能会大大增加简单 ajax 请求的加载时间。

我对任何想法持开放态度。谢谢。

我需要为用户角色重定向一个 url。

网址来自： http ://www.example.com/admin

网址： http ://www.example.com/admin/content/filter

用户角色： example-admin

因此，当用户（example-admin 角色）使用 url example.com/admin 登录管理面板时，他不会看到 Access Denied 页面，而是重定向到 content/filter 作为默认登录 url。

感谢帮助！非常感谢！

我为新闻网站的 cms 创建了一个数据库系统。我只想在我的数据库系统中拥有 4 个角色：管理员、作者、编辑和访客（只阅读网页）。但是在每个数据库系统中都有一些预定义的角色，比如 sys 和 db_owner 和……它们是不可移除的，但我想要上面提到的唯一 4 个角色。我该如何瞄准这个目标？谢谢

我想根据使用 spring-security 登录的用户的用户权限生成一些 html 内容。到目前为止，我在互联网上找不到太多关于这个主题的信息，我想知道什么是实现这一点的好方法。

到目前为止，我正在考虑制作一个自定义标签，将其附加到一个控制器，该控制器链接到一个可以生成例如菜单的类。我只是不确定如何从 spring-security 获取用户的用户角色/权限。

我有一个 asp.net 应用程序，该应用程序的每个文件夹中都有 web.config 文件。每个文件夹中都有许多 aspx 页面。我需要通过对文件夹的每个单独页面进行编码来分配/拒绝权限。权限是基于角色的权限。因此，某些角色将仅对每个文件夹中的某些页面具有权限。请帮助我如何实现这一目标..

您有使用您的网站/服务的普通用户，他们可以登录到 mainsite1，然后您有开发人员，他们无法登录到 mainsite1，但可以登录到 developercenter1。你：

1）将每种类型的用户存储到 1 个大 USER 表中，然后分配不同的角色？

或者

2）为开发人员创建一个完全独立的表，因为他们都是使用两个不同站点的完全不同的用户？

我的工作需要一些建议。

在我的计算机中，我安装了 VS2010 和 SQL Server 2008 Developer，并具有名为 MYCOMPUTER 的自定义实例名称。如果我需要转移使用 ASP.NET MVC 2 创建的项目工作，当然我还可以通过 VS2010:s 接口创建一个数据库，从我的计算机到另一台装有 VS2010 和 SQL Server 2008 轻型版本的计算机一个名为 SQLEXPRESS 的实例，会不会很麻烦？

我还听说，如果您通过 VS 在 ASP.net 中创建了角色，并且由于数据库定义的角色，与 SS 2008 Developer 相关的错误消息或问题可能会更多。这是真的吗？

// 全金属男孩

我正在尝试构建一个下拉列表，其中包含登录用户的可用选项（即用户可以为其创建页面的页面类别），但是，由于我们业务的性质，这些基于用户角色作品 - 其中一个用户可以属于多个角色，每个角色可以在下拉列表中选择不同的选项。

我想为具有多个角色的用户做的是组合每个单独角色的选项并将其用作下拉列表的值。

我假设我可以通过 for each ( For Each r In userRoles) 运行多个 LINQ 查询然后合并它们来运行多个 LINQ 查询？

尽管我不知道这是否可能以我尝试的方式进行。

有可能还是我叫错了树？

有人可以请指点我正确的方向吗？

在我正在开发的应用程序中，每个用户都可以属于一个或多个组，例如“guest”、“member”、“admin”等。

当用户应用更改模型的操作时，例如注册帐户、编辑某人的帖子等，我需要验证是否允许用户这样做。

操作反过来可以有一个所有者（或主题），该所有者（或主题）被允许执行它。例如，注册和登录操作主题是guest，注销主题是member（表示已登录的会员），编辑帖子操作主题是owner。

现在我按照 Apache 的允许、拒绝规则来做： - 每个方法都有一个允许使用它的用户角色列表 - 每个角色都有 3 个属性：

order（“允许，拒绝”或“拒绝，允许”）

allow- 带有主题角色列表（可以与当前用户不同），例如所有者、访客、成员、管理员等，允许使用它

deny- 与上面相同，但不允许使用它的主题角色

函数isAllowed有这样的逻辑：

获取当前用户和主题组。

如果当前用户 ID = 主题用户 ID，它会将“所有者”添加到当前用户和主题的组中。

如果方法的用户角色中没有列出当前用户的组，则函数返回 false。

Else 函数继续检查主题组是否在允许或拒绝列表中，并应用顺序（允许/拒绝）逻辑。

如果有超过 1 个结果（例如，主题用户既是成员又是管理员），我应用从属逻辑（其中每个角色都有一个重要的数值，所以我可以知道作为管理员是比作为普通成员更重要的职位）并为最重要的角色选择结果（允许或拒绝）。

这有意义吗？我应该改变什么？

这个故事的悲惨结局

好吧，事实证明，compareTo我的角色类中的方法（角色实现了 GrantedAuthority）总是返回 0。所以每个用户只有一个角色（因为它们存储在一个集合中）。

问题

大家好，

我的应用程序中有一些奇怪的行为。

我在 User 类（由 Acegi 创建）中添加了几个字段，所以我可以设置过期密码，记录最后 N 个密码，诸如此类。我们有 9 个角色，ROLE_ADMIN是可以访问所有功能的“超级用户”。

部署应用程序后，用户开始抱怨他们无法使用它。他们可以登录，但无论何时他们想去某个地方，他们都会被拒绝访问，就好像他们没有角色一样。

这发生在每个用户上，除了管理员（只有ROLE_ADMIN），包括那些具有（ROLE_ADMIN+ 其他角色）的用户。

我什至无法想到要开始。

更新

我已经检查过，用户来自带有附加角色的数据库。

在 SecurityConfig.groovy 文件中检查角色。恐怕问题出在其他地方，因为我有一个实际有效的项目标记版本。

这是我的 SecurityConfig.groovy：

更新 - 记录详细程度并且没有评论/换行符

你好，更新我SecurityConfig.groovy的后，错误仍然存​​在。但是，我已经恢复了这个日志行。我尝试使用/norm/index分配了所有 9 个角色的用户进行访问。

调试 28/Dec/2010 00:12:57,110 [http-8080-3] 安全对象：FilterInvocation：URL：/no​​rm/index；配置属性：[ROLE_OP_FUNCIONAL,ROLE_ADMIN]

org.springframework.security.intercept.AbstractSecurityInterceptor - 以前经过身份验证：org.springframework.security.providers.UsernamePasswordAuthenticationToken@a00c7ad6：主体：com.baufest.insside.security.UserLoginDetails@0：

用户名：someuser；密码保护]; 启用：真；AccountNonExpired：真；凭据非过期：真；AccountNonLocked：真；授予权限：ROLE_OP_TECNICO；密码保护]; 已认证：真实；

详细信息：org.springframework.security.ui.WebAuthenticationDetails@0：授予权限：ROLE_OP_TECNICO

DEBUG 28/Dec/2010 00:12:57,110 [http-8080-3] org.springframework.security.ui.ExceptionTranslationFilter - 访问被拒绝（用户不是匿名的）；委托给 AccessDeniedHandler

对于我在这里读到的内容，似乎我的用户只获得了 1 个角色，即使在我调试它时，user.authorities 已经分配了所有 9 个角色。

任何想法将不胜感激在此先感谢。