我已根据某些角色和使用URL授权将我的页面分类到不同的文件夹中,例如我在web.config中使用以下代码来限制对该管理内容的访问:
<configuration>
<system.web>
<authorization>
<allow roles="Admin" />
<allow roles="SuperAdmin" />
<deny roles="Member" />
<deny users="?"/>
</authorization>
</system.web>
</configuration>
我的问题是:这足够安全吗? 或者我需要做一些其他的事情:在每个用户想做管理工作的事件中,我应该检查一下他们是否处于适当的角色?
修改 我使用“表单身份验证提供程序”和“ASP.NET成员资格提供程序”来验证用户和成员身份,据我所知它是安全的
答案 0 :(得分:1)
这只会验证,没有用户获得任何未经授权的页面。由于您在业务层中执行了大量业务,因此您还需要检查其中的自动化。
大多数情况下,您无法在页面内部内部检查,因为页面通常会提供不同的内容,具体取决于低权限用户或高权限用户是否请求它们。
一般情况下,您必须自己决定所提供的每一项信息 - 是否可以?如果不是一般的公共信息:想一想,你怎么能有效地限制它?基于ASP.NET成员资格类的授权方案是一个很好的基础。