刚刚发现了FluentSecurity。看起来很有趣。
我的Web应用程序是用MVC3,C#和Razor编写的。
我担心网址被篡改了。因此,除了检查经过身份验证的用户,更正角色之外,我还需要确保用户不会试图篡改URL以查看他/她无法访问的数据。
即他/她拥有#10,所以
Order/10
很好,但不是:
Order/100
使用标准[Authorize],可以编写一个继承自Authorize类的自定义授权类,它们会检查ID是否正常......并且可以工作。如果ID由用户拥有,则返回true。如何在FluentSecurity环境中实现?
非常感谢。
答案 0 :(得分:1)
我无法告诉你如何实施它,但我可以指出你正确的方向。 您需要的是自定义策略。然后,您可以设置安全上下文修改器,为您提供所需的查询字符串/路由数据。
此处涵盖自定义政策: https://github.com/kristofferahl/FluentSecurity/wiki/Custom-policies
此处涉及安全背景: https://github.com/kristofferahl/FluentSecurity/wiki/SecurityContext