刚刚发现FluentSecurity。看起来很有趣。
My Web Application是用mvc、c#和Razor编写的。
我担心url被篡改了。因此,除了检查经过身份验证的用户、正确的角色之外,我还需要确保用户没有试图篡改URL来查看他/她没有访问权限的数据。
他/她拥有#10,所以
Order/10
可以,但不能:
Order/100
使用标准的[Authorize]可以编写一个自定义授权类,它继承自authorization类,然后检查ID,这是ok的…和工作。如果ID为user所有,则返回true。这将如何在FluentSecurity环境中实现?
多谢。
我不能告诉你如何实现它,但我可以为你指出正确的方向。您需要的是自定义策略。然后,您可以设置一个安全上下文修饰符,为您提供所需的查询字符串/路由数据。
这里包括自定义策略:https://github.com/kristofferahl/FluentSecurity/wiki/Custom-policies
安全上下文包括在这里:https://github.com/kristofferahl/FluentSecurity/wiki/SecurityContext