Tag: 授权

WCF – Windows身份validation – 安全设置需要匿名

我努力让WCF服务在我们的服务器上的IIS上运行。 部署后,我最终得到一个错误消息: 此服务的安全设置需要“匿名”身份validation,但不支持承载此服务的IIS应用程序。 我想使用Windows身份validation,因此我禁用了匿名访问。 还要注意,有aspNetCompatibilityEnabled(如果这有什么区别)。 这是我的web.config: <system.serviceModel> <serviceHostingEnvironment aspNetCompatibilityEnabled="true" /> <bindings> <webHttpBinding> <binding name="default"> <security mode="TransportCredentialOnly"> <transport clientCredentialType="Windows" proxyCredentialType="Windows"/> </security> </binding> </webHttpBinding> </bindings> <behaviors> <endpointBehaviors> <behavior name="AspNetAjaxBehavior"> <enableWebScript /> <webHttp /> </behavior> </endpointBehaviors> <serviceBehaviors> <behavior name="defaultServiceBehavior"> <serviceMetadata httpGetEnabled="true" httpsGetEnabled="false" /> <serviceDebug includeExceptionDetailInFaults="true" /> <serviceAuthorization principalPermissionMode="UseWindowsGroups" /> </behavior> </serviceBehaviors> </behaviors> <services> <service name="xxx.Web.Services.RequestService" behaviorConfiguration="defaultServiceBehavior"> <endpoint behaviorConfiguration="AspNetAjaxBehavior" […]

如何使Authorize属性返回自定义403错误页面而不是redirect到login页面

[Authorize]属性是很好用的MS发明,我希望它能解决我现在的问题 更具体: 当前客户端未通过身份validation – [Authorize]从安全操作redirect到login页面,login成功后 – 将用户退回,这很好。 但是,当前的客户端已经通过身份validation,但没有授权运行特定的操作 – 我需要的只是显示我的通用403页面。 没有在控制器的内部移动授权逻辑是否可能? 更新 :我需要的行为应该在语义上等于这个草图: public ActionResult DoWork() { if (!NotAuthorized()) { // this should be not redirect, but forwarding return RedirectToAction("403"); } return View(); } 所以 – 不应该有任何redirect和url应该保持不变,但页面的内容应该被replace为403页 更新2 :我以这种方式实现了草图: [HandleError] public class HomeController : Controller { public ActionResult Index() { ViewData["Message"] = "Welcome to ASP.NET […]

在定制授权MVC4 Web Api中访问post或get参数

可以通过HttpActionContext对象访问post或者获取参数吗? 我有一组传感器将数据logging到提供REST API的Web服务器。 我想通过让传感器在数据中包含硬件ID来引入某种authentication/授权,然后在数据库中查找是否存在该ID。 由于API提供了许多Web API操作方法,我最好喜欢使用自定义授权属性 public class ApiAuthorizationFilter : AuthorizeAttribute { protected override bool IsAuthorized(HttpActionContext actionContext) { return false; } } 我怎样才能从actionContext访问/获取数据? 编辑:POST的例子 POST /Api/api/ActionMethod/ HTTP/1.1\r\n Content-Type: application/json\r\n Host: localhost\r\n Accept: */*\r\n Content-Length:52\r\n \r\n {"Id": '121a222bc', "Time": '2012-02-02 12:00:00'}\r\n 祝你今天愉快!

用户界面中的未授权操作是否应该隐藏,禁用或导致错误?

对于我来说,这是一个长期的问题,我从来没有真正解决过,所以我想要你的意见。 如果我有一些行为,我知道用户由于权限不足或对象状态而无法执行,那么这些操作的UI元素是否对用户隐藏,可见,禁用或可见,如果尝试,则会导致错误? 你的答案的理由是什么? 如果残疾,你会沟通的原因,如果是这样,如何? 这是一个Web界面,所以我已经知道,我需要检查传入的post/获取权限,并处理错误无论如何。 我主要是在谈论如何处理用户界面。 这与关于禁用或隐藏菜单项的规则类似,尽pipe我对所有types的UI元素(而不仅仅是菜单)感兴趣。 例子: 我有一个新的页面,允许用户创build一个新的事件。 事件可以是主事件或子事件。 创build主事件需要“EditMasterEvent”特权,而创build子事件只需要“EditEvent”特权。 我有一个下拉,允许select一个现有的事件作为父(主事件)或没有父(这是一个主事件)。 如果“创build主事件”选项显示在下拉列表中,或者如果用户只具有“编辑事件”权限,则省略。 删除事件要求您是应用程序pipe理员,或者具有相应的事件types的编辑权限。 在后一种情况下,该事件也必须超过5年。 删除事件会导致系统中相关数据的大量级联删除,并且出于法律方面的原因,此事件必须在事件发生后保留至less5年。 由于这种操作对于普通用户来说很less见,因此典型的情况是操作不可用。 是否应该总是或仅在实际可能时才显示?

ASP.NET MVC – 替代angular色提供者?

我试图避免使用angular色提供者和会员提供者,因为我觉得它太笨拙了,所以我正在努力制作我自己的“版本”,这个版本不那么笨拙,更容易pipe理/灵活。 现在是我的问题..是否有一个替代品的angular色提供者是不错的? (我知道我可以做自定义angular色provier,会员供应商等) 通过更易于pipe理/灵活的我的意思是,我只能使用Roles静态类,而不是直接实现到与数据库上下文交互的服务层中,而是使用具有自己的数据库上下文的Roles静态类等等,也是表名是可怕的.. 提前致谢。

.NETexception我可以抛出未授权或未validation

我有部分代码,我想抛出一个exception,每当用户未经过身份validation/未经授权。 所以不是写我自己的NotAuthenticatedException和NotAuthorizedException,而是想知道是否还没有一些C#标准。 我可以想象很多程序都会抛出类似的Exceptions,如果每个人都再次写下他们自己的“轮子”,那也不会很有用。

Node.js应用程序的授权方法和devise模式

我正在构build一个内部企业软件平台的多页面pipe理界面。 想想大量的粘合逻辑将各种API,db查询和shell脚本捆绑在一起。 我们将使用node.js,express框架(包括jade模板)和LDAP进行authentication。 我正在努力寻找有关节点应用程序授权的devise模式和最佳实践的信息。 最好是,我想使用基于angular色的模式,因为我的用户熟悉这种方法及其照顾和喂养。 我是node.js的新手,所以请不要以为我已经看过一个模块或stream行的博客文章。 有可能是有大量的信息,我根本不知道在哪里看。 提前感谢您提供的任何信息!

React路由器授权

在元件安装之前进行授权检查的最佳做法是什么? 我使用react-router 1.x 这是我的路线 React.render(( <Router history={History.createHistory()}> <Route path="/" component={Dashboard}></Route> <Route path="/login" component={LoginForm}></Route> </Router> ), document.body); 这是我的仪表板组件: var Dashboard = React.createClass({ componentWillMount: function () { // I want to check authorization here // If the user is not authorized they should be redirected to the login page. // What is the right way to perform […]

我们如何在ASP.NET MVC中设置整个区域的授权?

我有一个pipe理员区域,我只想要pipe理员进入该区域。 我考虑将“授权”属性添加到“pipe理”区域中的每个控制器。 是不是有一个优雅的解决scheme,或者这个function没有在框架本身? 编辑:对不起,我应该提前这个。 我正在使用派生自AuthorizeAttribute的自定义AuthorizedAttribute。

我如何将JAAS授权检查委托给Shiro?

我正在开发一个服务器端应用程序,需要基于对象的身份validation和授权。 我喜欢Shiro的简单性,但为了兼容JAAS,我写了一个使用Apache Shiro作为底层机制的LoginModule。 但我的问题是,我无法find一个方法来委托JAAS授权检查Shiro。 我怎样才能做到这一点?