- c - 在位数组中找到第一个零
- linux - Unix 显示有关匹配两种模式之一的文件的信息
- 正则表达式替换多个文件
- linux - 隐藏来自 xtrace 的命令
我想了解授权的具体机制,以便针对我的情况制定策略。
我的情况是我是分布式应用程序的一部分。我的部分是一个 MVC5 应用程序,它基本上只包含几个返回单页应用程序 View 的 Controller 。所以点击 Controller A 并返回单页应用程序 A。点击 Controller B 并获取单页应用程序 B。等等。此应用程序不包含数据库或用户数据。完全不同的网站/服务器上的其他一些应用程序也是如此。我想询问其他应用程序用户是否有效,或者让用户自己直接询问其他应用程序,如果答案是肯定的,则只允许访问我的应用程序 View 。因此,从本质上讲,我想根据包含用于登录/用户验证的公开 API 的远程应用程序的词来保护我的 Controller 。
有人向我建议 token 身份验证是可行的方法。我对它缺乏经验,这让我有点望而生畏,但我已经把自己埋在了一些阅读和视频演示中。这是我目前基于有限理解总结任务的微弱尝试。请根据需要更正:
问题:
如有任何见解,我们将不胜感激。
更新:我在第 2 季度的意思是,最简单地说,[Authorize] 是如何工作的?细节?我猜我必须告诉它如何工作。例如,一个愚蠢的例子来说明。如果我想告诉一个装饰有 [Authorize] 的 Controller 允许任何拥有用户名“fred”的人进入,我将如何以及在何处执行此操作?我不是在寻找代码。我在概念上思考。我的应用程序必须了解其他应用程序(身份验证应用程序)正在生成的 token 。一般而言,我应该向我的 MVC 应用程序添加什么来告诉它如何解码这些 token ?我在哪里添加它?有没有一个标准的地方?
最佳答案
我认为您的方向是正确的,并且您提到的步骤是正确的。我会根据我的理解回答你的问题:
Q1。另一个应用程序需要授权和生成 token (无论他们使用什么授权机制),您应该在显示您的 View 之前收到此 token 。由于数据来自其他应用程序,他们必须让您的 Controller 访问他们的数据。这就是为什么您需要向其他应用程序询问 token /授权。使用从其他应用程序获得的有效 token ,您的应用程序可以向其数据发送有效且授权的请求。
Q2。您可以从您这边做的是添加一个检查,以检查您的操作/ View 请求是否来自授权用户。为此,您需要检查此请求是否具有有效 token 。
Q3。我不知道你在这里所说的"template"是什么意思。但是,如果您需要将您的 Controller 集成到其他解决方案中,您确实需要知道其他解决方案的作用以及它在授权方面提供的内容,当然还有数据。为此,他们应该为您的应用程序提供对公共(public) api 的访问权限。
第 4 题。这是其他应用程序需要做的事情。据我了解,我认为您只是将 Web API 添加到现有系统,因此我认为您需要真正了解如何与其他应用程序集成。他们应该有清晰的公开 API,供您执行此操作以访问他们的功能和数据。
由于您没有提到这个其他应用程序是类似于安全的企业解决方案还是 Google API(具有公共(public) API),因此很难准确地说出您可以从其他应用程序中得到什么。
我认为您需要尝试 JSON 网络 token (JWT)
虽然我自己没有使用过它。 stormpath.com/blog/token-auth-spa –它对于验证是否向您的 Controller 发出请求很有用。这是一个与您类似的问题(我认为)以及 JWT 如何解决它 How to use JWT in MVC application for authentication and authorization?和 https://www.codeproject.com/Articles/876870/Implement-OAuth-JSON-Web-Tokens-Authentication-in
您可以像这样覆盖 AuthorizeAttribute:https://msdn.microsoft.com/en-us/library/ee707357(v=vs.91).aspx .您可以将检查您决定使用的任何 token /身份验证机制的授权逻辑添加到这个新的操作过滤器中。然后将该新属性添加到您的操作中。因此,如果覆盖时您的自定义授权属性如下所示:
public class RestrictAccessToAssignedManagers : AuthorizationAttribute
然后你的 Action 会有这样的属性装饰:
[RestrictAccessToAssignedManagers]
public ActionResult ShowallAssignees(int id)
找到一篇可能也有帮助的好文章 - https://blogs.msdn.microsoft.com/martinkearn/2015/03/25/securing-and-securely-calling-web-api-and-authorize/
关于c# - 如何保护不包含数据库或用户数据的 MVC 应用程序中的 Controller 操作?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/41887140/
我有一个我想暂时存储的对象。该对象现在在 Controller 中, Controller 将生成一个 View 。 AJAX 请求从 View 发送到下一个 Controller 。那一刻我需要先前
从MVC 2开始,我们可以轻松创建区域。现在,我的问题与嵌套区域(区域内部的区域)有关。 选择我的“father”区域文件夹,右键单击> Add> NO选项以获取new Area。 是否有可能以其他方
关闭。这个问题不满足Stack Overflow guidelines .它目前不接受答案。 想改善这个问题吗?更新问题,使其成为 on-topic对于堆栈溢出。 7年前关闭。 Improve thi
我已经尝试了一些谷歌搜索和堆栈流搜索,但事实证明这比我想象的要难找到。我需要为我们的商店迁移到 ASP.NET MVC 2 的管理提供理由。最大的帮助将是任何企业级站点或使用 ASP.NET MVC
关闭。这个问题是opinion-based 。目前不接受答案。 想要改进这个问题吗?更新问题,以便 editing this post 可以用事实和引文来回答它。 . 已关闭 6 年前。 Improv
我有一些常见的网页,它们将出现在多个 MVC 应用程序中。对于这些页面,我想在不同的 MVC 网站之间重用相同的源代码( Controller + View )。这样做的最佳方法是什么? ASP.NE
我正在使用 Spring MVC 来构建我的应用程序。 当用户在浏览器中运行应用程序时,我想显示一个默认的 jsp。我不想用 web.xml 中的标记。 我想我可以用 我已经创建了一个文件夹并添
我可能在这里分析过度了,但是根据我对 MVC 的阅读,似乎有很多关于如何做事情的观点。 是否有一个“最佳实践”网站或文档来定义 MVC 各个部分的职责? 请记住,我使用 EF/Repository&U
当杰里米和查德 posted about their FubuMvc project ,他们提到的差异化因素之一是他们的“雷霆穹顶校长”: The “Thunderdome Principle” –
我正在为 Spring MVC 应用程序实现缓存清除系统。 为了让这个系统正常工作,我必须从给定的 url 中删除“缓存破坏代码”。假设我生成的缓存破坏代码是“123”,我有一个 .css url:/
在调试 ASP.NET MVC 源时,我发现使用了“MVC-ControllerTypeCache.xml” 文件。但我无法理解这个文件的用途。我的意思是这个文件存储在哪里?asp.net MVc 如
我刚刚在我的本地机器上安装了 Visual Studio 11 和 MVC 4 beta。但是,每当我打开一个 MVC 3 项目(我想保留为 MVC 3)时,所有引用都已更新为版本 4 DLL。当然它
我有一个 MVC 3 应用程序,它具有一些核心功能(最重要的是自动化),但主要用作不同区域或模块的门户。我想将它组织到不同的模块中,只需稍作更改也可以部署为他们自己的网站。 该项目由论坛、博客引擎、用
我有自己的服务器,正在考虑将我的一个解决方案升级到 ASP.NET MVC 4,然后再升级其余的 (3+)。 作为其中的一部分,我下载了 the standalone installer对于 ASP.
构图 我有一个 MVC 项目,其中包含 C# 类,这些类最终通过 ajax 等进行序列化和使用。我使用 TypeLite 生成这些 C# 类的定义( here 讨论了 TypeLite 的替代方案),
我正在尝试了解现代 Web 应用程序架构。在 ASP.NET MVC 中,所有业务逻辑类都在 Model 中,Controller 接受并引导用户请求。如果我使用它,是否可以使用本身是 MVC 架构但
我有一个带有 OWIN 的 WebAPI 2 应用程序。现在我正在尝试向所有内容添加一个 MVC 5 Controller ,但没有找到我的 MVC 路由。我收到以下错误: No HTTP resou
在 MVC 3 中,他们添加了我一直在使用的依赖解析器。在回答某人对您发表评论的问题时,您应该使用 Ninject MVC 3 插件。 所以我的问题是为什么要使用它而不是内置的?如果这是要走的路,你如
我是 ASP.NET MVC 的新手,我正在寻找最不痛苦的方法来设置全局错误处理、日志记录和报告(通过电子邮件)。仅供引用,我的 ASP.NET MVC 应用程序在 Azure 中作为 Web 角色托
何时使用 MVC View 页面和 MVC View 内容页面?它们有什么区别? 最佳答案 **MVC View Page 用于创建页面,MVC VewP Content Page 用于创建页面并指定
我是一名优秀的程序员,十分优秀!