个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
26
4
我刚刚开始在现有 Web 应用程序上使用基于声明的安全性。我有一些非常适合身份声明的项目,例如电子邮件和名字和姓氏,但还有其他与安全相关的项目,我不确定应该去那里。
例如,对于网站的不同区域,有许多精细的 bool 权限,我不确定该放在哪里。例如 - CanAccessX、CanAccessY、CanAccessZ 等。
有人可以告诉我这些元素是否可以转化为 claim ,或者它们是否属于其他地方?
作为次要问题,由于所有声明都被序列化到 cookie 中,加载太多声明是不是一个坏主意?将在哪一行进行身份验证后检索其他声明并仅将一小部分放在 cookie 上。
谢谢。
最佳答案
如果符合应用程序的要求,将权限转换为声明通常是一个好主意。基于声明的安全性的好处之一是用户的元数据(姓名、角色、年龄、权限等)与应用程序安全需求之间的解耦。例如,如果某些“ Action ”要求用户达到一定年龄,只需简单检查 HasClaim(c => c.Type == Age && c.Value >= 18)是必要的。如果它需要一个简单的权限,为什么不直接检查 HasClaim(CanAccessX) ?
许多应用程序(错误)使用“CanAccessX”/“CanReadY”/“CanWriteZ”等组/角色来实现不太复杂(=更好)的安全机制。有了 claim ,这个概念就变得自然而然了。
其次,cookie 膨胀可能是一个问题。例如,如果用户拥有太多的组/角色/权限/任何东西,使用 Kerberos 的 token 膨胀可能是一个问题。解决这个问题的一种方法可以是在基于声明的安全性之前使用某种基于角色的安全性:如果有 n 个角色用于 m 个权限(n 应该远小于 m),则只能将 n 个角色写入 cookie,但是在一个简单的模块/中间件中在幕后转换它们。另一种解决方案可能是自定义身份/权限映射,因此您只需将用户身份写入 cookie,但在实际处理请求之前将其与其(缓存的)权限匹配。
我将从直接方法开始(只需将所有声明写入 cookie)。然后,如果它变得太大并影响应用程序的性能,您可以使用或多或少复杂的模块/中间件优化它的行为,这不应该影响实际的“代码”。
请注意,已经有 .NET 机制可以安全地处理该 cookie 内容:对于经典(当前)IIS 应用程序,您可以使用 Session Authentication Module ,对于现代( future )OWIN 应用程序,您可以使用 Cookie Authentication Middleware .
关于asp.net-mvc - MVC5 基于声明的身份验证 - 合适的声明项,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/28523481/
26
4
0
假设我正在使用 segues 转换 View Controller 。我在 View Controller 1 上有一个 textField,在第二个 View Controller 上有一个标签。当
在下面的代码中,当我在表中插入数据时,回滚的目的是什么,如果我想回滚,我不应该插入它,那么使用回滚的合适方法是什么? BEGIN TRANSACTION Insert into dimCustomr
我一直在阅读一些帖子,并想知道是否有人可以介绍 TrieMap 何时比使用 HashMap 更可取的情况。 那么本质上是什么架构决策应该激励使用 TrieMap? 最佳答案 根据文档。 它是可以在多线
什么时候 do-while 比其他类型的循环更好?有哪些常见场景比其他场景更好? 我了解 do-while 的功能,但不了解何时使用它。 最佳答案 当您需要至少完成一次某事,但不知道启动循环之前的次数
fileExistsAtPath 的文档如下: Attempting to predicate behavior based on the current state of the file syst
当 XCode 分析我的代码时,它发现了潜在的内存泄漏。我使用 ARC,但我了解到 ARC 不处理 C 类型。因为我使用 CGImageRef 来创建 UIImage 并分配给 UIImageView
我有一个每天更新一次的大型数据集。我正在缓存对该数据进行昂贵查询的结果,但我想每天更新该缓存。我正在考虑使用 CacheItemRemovedCallback 每天重新加载我的缓存,但我有以下问题:
我了解 IoC 容器是什么,并且一直在阅读结构图。该技术似乎很容易使用。我的问题是,使用 IoC 容器的适当粒度级别是多少? 我看到以下可能的 IoC 应用级别: 打破所有对象之间的所有依赖关系——当
我用 Java 编写了一个应用程序。我从数据库中获取一个表(客户端),其中包含以下字段: 名称 |姓氏 |地址 在我的应用中存储这些数据的最佳解决方案是什么?我应该为每个客户端创建一个对象并将这些对象
这个问题在这里已经有了答案: Use of 'prototype' vs. 'this' in JavaScript? (16 个答案) 关闭 8 年前。 function A() { this
我已经试验了一段时间 asyncio 并阅读了 PEPs ;一些教程;甚至是 O'Reilly book 。 我想我已经掌握了窍门,但我仍然对 loop.close() 的行为感到困惑,我不太清楚何时
它是否正确,因为在 Windows 中并没有说它不好或不推荐。 例如像这样: int APIENTRY _tWinMain(HINSTANCE hInstance,
我在更新我的网站时遇到问题,谷歌搜索结果显示指向旧页面的链接,这些链接现在是 404,其中一些甚至包含已弃用的内容。 我的问题是关于 301 的使用。旧页面具有深层嵌套页面,如下例所示: ww
我使用 JUnit 和 FEST 对我们的应用程序进行 Swing 集成测试,我在测试用例中多次启动和停止。 @after 是否应该包含对 robot.cleanUp() 的调用? 最佳答案 一般规则
我是一名从未真正使用过 .dll 文件的程序员。当然,当我需要第 3 方软件时,例如图形库、帮助我创建图形的库等。我会将引用/ddl 文件添加到我的程序中并在我的代码中使用它们。 此外,您似乎可以将
关闭。这个问题不符合Stack Overflow guidelines .它目前不接受答案。 这个问题似乎不是关于 a specific programming problem, a softwar
我目前正在尝试更多地利用 kotlin 协程。但我面临一个问题:在这些协程中使用 moshi 或 okhttp 时,我收到警告: “不适当的阻塞方法调用” 解决这些问题的最佳方法是什么?我真的不想不合
我有点不确定什么时候适合使用 Html.RenderAction() 来渲染我的 View ,什么时候不适合。我的理解是,因为它不是 ASP.NET MVC 的“官方”组件,所以使用它是不好的做法,它
假设你想开发你的 Controller ,以便你使用 ViewModel 来包含你渲染的 View 的数据,所有数据都应该包含在 ViewModel 中吗?什么条件下可以绕过 ViewModel? 我
您何时考虑在 .NET 中创建用户控件?您是否有一些基本标准来从页面中排除您的代码并引入新的用户控件? 通常我倾向于遵循这些来决定我是否需要用户控件: 当使用单独的用户控件使页面看起来更具可读性时 当
我是一名优秀的程序员,十分优秀!