由于setAuthCookie,授权用户可以查看其他授权页面

时间:2014-09-19 21:24:19

标签: asp.net

我正在使用asp.net应用程序。它由两个模块组成:

  1. 最终用户

  2. 管理者

    3. 我已经构建了两个模块并将其集成到一个模块中。现在问题是,我从数据库验证最终用户并向用户发出权限,以便通过

    查看仅限成员资源 
    setAuthCookie()

    当用户按下注销按钮时,它将自动通过

    注销 
    signout()
    当我经历过这些事情时,我发现最终用户也会查看应用程序的管理员方面,因为他有权查看并且我是由sethAuthCookie授权给他的。 (当用户请求登录页面时,即管理员和最终用户,它将重定向到某个操作页面,我也在page_load事件中通过' httpcontext.current.request.isauthorized')。

    如果是经理,上述内容也是有效的。

    最终用户是否有任何方式只能查看他的应用程序?反之亦然

    我想到了可能的解决方案:

    1. 创建一个存储加密表单用户类型的cookie,即他是经理或最终用户,并在page_load事件中进行检查。

    2. 将其存储在某个会话变量

      3. 这两者都是不安全且非常难以编码的。

      有没有办法使用一些内置或丰富的方法来解决这个问题?

      提前致谢!

0 个答案:

没有答案
相关问题
最新问题