我在ASP.NET MVC 5应用程序中工作,我需要两个级别的安全性。 用户登录系统,之后,他们可以选择"登录"在第二个子系统中(让我们考虑公司分支)从公司分支列表中选择一个公司分支。此方案类似于具有一些存储库的GitHub帐户。首先,您登录GitHub然后选择要对其进行处理的存储库。 我不想将分支ID /名称作为url参数传递,我想创建一个cookie来存储分支基本数据,例如id和name。 我正在创建一个cookie(使用HttpCookie)和公司分支数据。我的问题是,创建(和加密)第二个cookie以识别所选公司分支的最佳方法是什么?
答案 0 :(得分:1)
使用角色来管理对不同分支的访问。如果用户首先没有访问权限,则下拉列表甚至不应显示分支,并且分支页面的控制器操作应使用[Authorize]属性进行修饰。如果你在URL中留下分支ID或其他内容,那就没问题了。未经授权的用户无论如何都无法查看它。 http://www.asp.net/web-pages/overview/security/16-adding-security-and-membership