0

FluentSecurity を発見しました。とても面白そうです。

私の Web アプリケーションは、MVC3、C#、および Razor で記述されています。

URLの改ざんが心配です。したがって、認証されたユーザー、正しい役割を確認することに加えて、ユーザーがアクセス権のないデータを表示するために URL を改ざんしようとしていないことも確認する必要があります。

つまり、彼/彼女は #10 を所有しているので、

Order/10

大丈夫ですが、そうではありません:

Order/100

標準の [Authorize] を使用すると、Authorize クラスから継承するカスタム認証クラスを記述できます。このクラスは、OK である ID をチェックし、機能します。したがって、ID がユーザーによって所有されている場合は、true を返します。これは FluentSecurity 環境でどのように実装されますか?

どうもありがとう。

4

1 に答える 1

1

実装方法はわかりませんが、正しい方向に向けることはできます。必要なのはカスタム ポリシーです。その後、セキュリティ コンテキスト モディファイアを設定して、必要なクエリ文字列/ルート データを提供できます。

カスタム ポリシーについては、 https ://github.com/kristofferahl/FluentSecurity/wiki/Custom-policies で説明しています。

セキュリティ コンテキストについては、 https ://github.com/kristofferahl/FluentSecurity/wiki/SecurityContext で説明しています。

于 2014-04-21T19:14:02.270 に答える