問題タブ [fluent-security]

重複の可能性:
Fluent Security - パラメーター化されたコントローラー アクションの構成

ASP.NET MVC アプリケーションでセキュリティ ポリシーを適用するために Fluent Security を試していますが、パラメーターを受け取るコントローラー メソッドのポリシーを定義できません。私が言いたいことの例として、次のコード スニペットは、保護する必要があるコントローラーを示しています。

そして、このコード スニペットは、2 つのコントローラー メソッドへの認証済みアクセスを許可するように Fluent Security を構成しようとしている方法を (概念的に) 示しています。

ただし、 への引数がないため、後者のコードはビルドされませんDisassociate。コンパイラは次のように報告します: No overload for method 'Disassociate' takes 0 arguments.

メソッドの Fluent Security を構成するにはどうすればよいAccountController.Disassociate(string, string)ですか?

こんにちは私はFluentSecurityを使用して、MVCアプリケーションのユーザー権限を認証および検証しています。基本設定では、ユーザーがアクセスを拒否したAction場合、例外がスローされます。黄色の例外ページを表示する代わりに、別のページ（ログインページなど）にリダイレクトする方法を知りたいですか？

プロジェクトで流暢なセキュリティを使用しています。すべてのインデックスアクションで、アクセス許可情報を取得し、それをコントローラーに渡して、現在ログインしているユーザーの役割に応じてボタンを有効または無効にしたいと考えています。コントローラーへのポリシー。助けてください

前もってありがとう、アヌープ

Fluent Security を使用して、mvc Web アプリ内のコントローラーのビューで SSL リダイレクトをセットアップする最良の方法は何ですか?

Fluent Security を使用して、DenyAnonymousAccess、DenyAuthenticationAccess、および RequireRole を使用して Web サイト アクセスを構成しました。ただし、HandleSecurityAttributeは認可フィルターではないため、処理するすべてのロジックはDenyAnonymousAccessPolicyViolation、 などの認可フィルターの後にのみ実行されValidateAntiForgeryTokenます。

これは、現在のユーザーの認証チケットがタイムアウトの場合ValidateAntiForgeryToken、トークンが匿名ユーザー用に作成されていないため、 で装飾されたすべてのアクションが例外をスローすることを意味します。

これを回避する方法はありますか？現在、次の 2 つのソリューションを検討しています。

1. セキュリティが行うことを正確に実行するために、独自の承認フィルターを作成HandleSecurityAttributeします。
2. グローバルAuthorizeファイラーを使用して認証を処理し、ロールやその他のアクセス ポリシーを FluentSecurity に任せます。

アップデート：

github でデモをチェックインしました。このユーザー名とパスワードは dev1 と devdev です。フォーム認証のタイムアウトを 1 分に設定しました。したがって、ログインして 1 分間待ってからログオフをクリックすると、匿名ユーザーに対してトークンが作成されていないことがわかります。通常の MVC では、ユーザーをログイン画面にリダイレクトする [ValidateAntiForgeryToken] の前に [Authorize] が実行されるため、これは発生しません。

私は別の MVC アプリケーションで FluentSecurity を使用しましたが、その優れた機能により、洗練された実装が提供されます。

私は今、アプリケーション全体の役割を提供する必要があるだけでなく、個々のエンティティに対する追加の権限制御も提供する必要があります。

私のアプリケーションは特定の場所を管理し、ユーザーは 1 つ以上の場所でアクションを実行する権限を持っている場合があり、各場所には一意の ID があります。ユーザーが場所IDの特定の役割を持っていることを確認する必要があります（効果的に役割に別の次元を追加します）。レポ/サービスレイヤーとともに、スキーマをマッピングしました。

誰かが以前にこの種の問題に取り組んだことがあるかどうか、FluentSecurity で解決しようとする価値があるかどうか、またはユーザーが各 GET/POST 要求 (コントローラーまたはサービス レイヤー) の場所に必要な役割を持っていることを検証する必要があるかどうか疑問に思っていました。

FluentSecurity でこれを達成しようとしていますが、独自のポリシーを作成して、RequestContext.RouteData からロケーション ID を取得する必要があります。

FluentSecurity (implement ISecurityPolicy) でカスタム ポリシーを作成し、対応する PolicyViolationHandler を実装して作成しましたIPolicyViolationHandler。ポリシーとハンドラーですべてが完全に機能していますが、IPolicyViolationHandler.Handle(PolicyViolationException exception). 実装後にテストを逆に書いていることはわかっています（炎を避けるための許可）。

私の質問はPolicyViolationException次のとおりです。テストに渡すことができるモックとしてオブジェクトを生成する方法はありますか? PolicyViolationException には、パブリック コンストラクター (新しいオブジェクトを作成することはできません)、抽象ベース、または (Moq を使用して) モックするためのインターフェイスがありません。

API を調べましたが、API を生成するものは何もありませんでした。リフレクション マジックを実行して取得できることはわかっていますが、何か不足していないかどうかを確認したかったのです。

私の .net mvc 4 アプリでは、アクションを保護するためにFluentSecurity (1.4) の最新リリースを使用しています。

私の問題を示す例を次に示します。

2 つの編集アクション (get と post) を持つコントローラーがあるとします。

ここで、アクションごとに異なるセキュリティ ポリシーを設定したいと考えています。そのために、(流暢なセキュリティを使用して) 以下を定義します。

最初の構成は get を参照し、2 番目の構成は post を参照します。なぜ私がダミー パラメータを送信しているのか疑問に思われる場合は、こちらとこちらをご覧ください。

問題は、流暢なセキュリティがこれら 2 つの違いを見分けられないことです。したがって、これは機能しません。

それを克服する方法を見つけることができませんでした (アイデアは自由です)。新しい 2.0 ベータ リリースをインストールすることで、この問題を解決できるのではないかと考えています。

何か案は？

ソリューションでスタートアップ プロジェクトとして名前が付けられた MVC アプリケーションとapp_ui、モジュールとしてソリューション内の他のいくつかのアプリケーションがあります。次に、スタートアップ プロジェクトで、モジュールとそのア​​クションにルートテーブルでアクセスします。私fluentsecurityは認証に使用しGlobal.asax、コントローラー用に構成するapp_uiと、すべてが完全に機能します。しかし、モジュール内のコントローラーとアクションの場合、構成を fluentsecurity に追加できず、それらの設定ポリシーを追加する方法を知りたいです。

この正確な問題はGitHubで尋ねられましたが、提供された回避策はバージョン 2 ではオプションではないようです。

問題は、セキュリティが適切に構成されている場合、ForAllControllersInheriting を介して構成されている場合でも、CastleDynamixProxy ランタイムで作成されたコントローラー プロキシでは機能しないことです。

これは、流暢なセキュリティがルールを解析しているときに、これらのコントローラーが実際には存在しないことが原因であると思います。これに対する回避策はありますか? GitHubで提案されているように、カスタマイズされた HandleSecurityAttribute を作成したかったのですが、バージョン 2 のすべての内部的なものでそれを行うことができませんでした (ただし、それが原因で、私は C# の専門家ではないため、方法のヒントが必要になる場合があります)。それを行う）。

可能なすべての構成を試しました：

それらのどれもこの問題ではうまくいかないようです。