問題タブ [role-base-authorization]

以下のように、イントラネット アプリケーション (Windows 認証) のフォルダーに別の認証と承認を設定しようとしています。location タグを使用しようとしましたが、フォルダーの名前にスペースが含まれていると機能しません。

<location path="parentfolder/appro logistique"> <system.web> <authorization> <allow roles="domain\groupename"/> <deny users="*"/> </authorization> </system.web> </location>

どうすれば修正できますか？ご協力いただきありがとうございます。

Omniauth で認証された User モデル、名前と価格を含む Product モデル、ShoppingCart および ShoppingCartItem モデル ( acts_as_shopping_cartgem を使用) を備えた超基本的な e コマース アプリがあります。

私の問題は、Omniauth プロバイダーを介してユーザーを認証するときに、認証相手に基づいて割引を提供したいということです。

彼らが Facebook でサインインしたとしましょう。その場合、私は彼らに 20% の割引を提供したいと考えています。実際にどうすればよいのかわかりません - Product および ShoppingCartItem モデルにこのビジネス ロジックを記述し、次のように設定したいと思います。

current_userしかし、セッションによって設定されているため、モデル内でアクセスできません。

current_user にアクセスできるコントローラーで行う必要がありますか? 次に、コントローラー内で Product および ShoppingCartItem クラスを開いて価格メソッドをオーバーライドする必要がありますが、これはすべて間違っていると感じており、率直に言って、それが機能するかどうかもわかりません。

私はスプリング ブートを使用しており、WebSecurityConfigurerAdapter でグローバル メソッド セキュリティを有効にしています。

そして以下は私のコントローラーコードです

ただし、管理者以外のユーザーが PUT リクエストを実行しようとすると、@PreAuthorize の前に JSR303 バリデーターが作動します。たとえば、管理者以外のユーザーは、「アクセスが拒否されました」ではなく「名が必要です」などのメッセージを受け取りました。しかし、ユーザーがバリデータを渡すために最初の名前変数を指定した後、アクセス拒否が返されました。

@Valid または @Validated の前に @PreAuthorize を強制的にチェックする方法を知っている人はいますか?

また、複雑なルール チェックを実行するには、URL ベースの承認ではなく、この種のメソッド レベルの承認を使用する必要があります。

ASP.NET ID の認証と承認の仕組みを理解しようとしています。主張と役割がわかりました。関連するほぼすべてのブログ投稿またはここでの質問では、クレームを使用し、役割を避けることをお勧めします。この時点で私は混乱しています。ロールなしでクレームを使用するにはどうすればよいですか? (私は通常、ユーザーが登録された後に役割を割り当てます。)

どんな助けでも大歓迎です。

ありがとうございました

asp.net ID とベアラー トークン認証を使用して Web API を構築しました。

ロールの結果は真/偽であり、クレームはユーザーに関するより詳細なステートメントであることを理解しています。

しかし、タイプ ロールのクレームは、「ProjectManager」のような名前だけの抽象的なものであり、タイプ ロールのこのクレームが持つ権限はどこにも書かれていません。これを行うサンプルは見たことがありませんが、2010年にクレームが存在する前に、Roles N ---- M Permissions.

アクセス許可は

ロール クレームを使用したこの古いアプローチはどこで確認できますか?

Spring Web アプリケーションで ROLE 情報とユーザー情報を取得する必要があるという要件があります。情報は別のアプリケーションから HTTP ヘッダーを介して取得されるため、そのデータを解析してアプリケーションで使用する必要があります。

私が欲しいのは：

1. 誰かが私の Web アプリケーションに移動すると、リクエスト ヘッダーに ROLE および USER データが含まれるため、Spring セキュリティを使用してそれらを取得する方法。

   例: ユーザーがログインしてアプリケーションに入る Web アプリがあり、そこに 1 つのリンクが Web アプリに表示され、クリックすると Web アプリに移動し、それらの ROLS とユーザー情報を取得する必要があります。

2. そのデータをある種のセッションに保存して、その特定のユーザーのみに適用される操作のみを実行できるようにします。

その機能を実装する方法を教えてください。ありがとう。

アプリケーションのユーザーがロールを動的に作成し、このロールにアクセス許可を割り当てられるようにしたいと考えています。そのため、ロール モデルはハードコーディングされません。ただし、私が理解している限り、アクセス許可はハードコーディングする必要があります (アプリケーションロジックでチェックをハードコーディングするため)

私が見る最善の方法は、ロールをデータベースに保持し、その場で作成して、アクセス許可を割り当て\割り当て解除することです。また、アクセス許可は配列 (またはハッシュ、または連想配列) に保持する必要があり、開発者のみが変更し、サーバーの再起動が必要です。

すべて問題ないようですが、パーミッション ベースの承認のベスト プラクティス (パーミッション ベースではなく、ロール ベースの承認について多くを見つけることができます) と考えられる欠点について読みたいと思います。

また、権限の「レベル」を管理する最善の方法をまだ見つけられていません。たとえば、「管理者として機能」、「ユーザーの管理」、「ユーザーの作成/読み取り/更新/削除」という権限があります。

「Act As Admin」の権限を持つ Role にすべての操作 (管理者ユーザー、CRUD ユーザーなど) を任せたいと考えています。「ユーザーの管理」権限を持つロール - ユーザーを自動的に CRUD できます。多くの「OR」条件をチェックする必要がないため、このアプローチの方が優れています（管理者として機能したり、ユーザーを管理したり、ユーザーをCRUDしたりできます...）

しかし、この目的のためにアクセス許可ハッシュ (配列など) をメモリに保持するにはどうすればよいですか?

この質問は言語/フレームワークなどにとらわれないので、そのようなタグは追加しません