代码之家  ›  专栏  ›  技术社区  ›  C. Ross trotttrotttrott

ASP.NET MVC的动态安全性

security asp.net-mvc
  •  3
  • C. Ross trotttrotttrott  · 技术社区  · 14 年前

    我正在用ASP.NET MVC设计一个应用程序,通常保护操作的方法是通过属性 Authorize 

    [Authorize(Roles = "Managers")]
public AtionResult Info(int employeeId )

    然而,在我们的设计中,应用程序是高度数据驱动的。可能允许对一组数据执行操作,但不允许对另一组数据执行操作。 

    //OK
http://host/Employee/Info/102

//Not OK
http://host/Employee/Info/105

    我们应该使用什么模式来保证这个设计的安全性?

    2 回复  |  直到 14 年前
        1
  •  4
  •   John Farrell    14 年前

    您可以创建一个派生的Authorize属性来执行您想要的任何操作。 

    public class DynamicSecurity : AuthorizeAttribute
{
    protected override bool AuthorizeCore(HttpContextBase httpContext)
    {
        //go to db
        return true;
    }
}
        2
  •  0
  •   Lee D    14 年前

    您可以用来自ActionFilterAttribute类的自定义属性来修饰您的操作方法,并在OnActionExecuting方法中检查传入请求中的数据,如果不允许任何操作,则抛出安全异常/redirect/执行您需要的任何操作。

    推荐文章
    Farid  ·  限制django每个客户的访问
    2 年前
    josegp  ·  在Nmap中-p-tag是什么意思
    2 年前
    Anony Mous  ·  Python内置的哈希方法可靠且安全吗?[已关闭]
    2 年前
    Danny Gersh  ·  让网站成员上传js供其他成员使用有什么危险?
    2 年前
    Anonymous Creator  ·  在javascript中重新使用已通过身份验证的mvc客户端
    6 年前
    sauumum  ·  相互身份验证:ServerHelloDone之后“收到致命警报:握手失败”
    6 年前
    kramer65  ·  如何根据网站用户在S3上添加非公共网站文件?
    6 年前
    derf26  ·  如何阻止React Web包包含包中的脚本。json
    6 年前
    user8663960  ·  最好也是最简单的方法是保护登录表单的安全
    6 年前
    Nyein Chan Wynn  ·  Android:如何在生成指纹保护的密钥后立即使用它进行加密?
    6 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号