Pracuję nad nowym projektem asp.net mvc4 za pomocą Visual Studio 2011 beta i staram się zorientować się w całej sprawie bezpieczeństwa. Jest to wewnętrzna aplikacja intranetowa, która początkowo będzie korzystać z pojedynczego logowania, więc użytkownik nie będzie (jeszcze) monitowany o identyfikator/hasło systemu Windows. Firma ma niestandardową aplikację do przechowywania ról dla różnych aplikacji i będzie dostępna za pośrednictwem wywołania procedury przechowywanej. To zajmie identyfikator logowania użytkownika i zwróci pewien rodzaj kolekcji zawierającej role, np. "MyApp.Data", "MyApp.User," MyApp.Admin ". Więc co to się nazywa - czy jest to niestandardowy dostawca członkostwa, niestandardowy dostawca ról czy coś innego?Zabezpieczenia ASP.NET MVC4, uwierzytelnianie i autoryzacja
Czytałem już na wszystkie tajniki autoryzacji, uwierzytelniania, członkostwa, ról itp. i nie widzę obecnie drzewa dla drzew. Czytałem, że istniejące obiekty ASP.NET Security zostały wypróbowane i przetestowane, i o ile nie są to bardzo skomplikowane wymagania, wystarczą wbudowane, więc cieszę się z tego, co już tam jest.
Więc jeśli użytkownik jest już zalogowany w sieci, oznacza to, że jest on uwierzytelniony - czy jest prawidłowy? muszę tylko wdrożyć autoryzację Czy konieczne jest udekorowanie każdego kontrolera lub działania za pomocą atrybutu autoryzacji? Jeśli tak, to w jaki sposób część "ABC" z [Authorize (Roles = "ABC")] jest ustawiona, jeśli pobieram role z aplikacji do przechowywania niestandardowej roli?
Czytałem kilka artykułów i blogach w tym ten jeden z Jon Galloway ale zgubiłem ku końcowi:
Customizing Authentication and Authorization The Right Way
Tyle pytań ... jeśli ktoś zna dobry opis tego, jak wysoki poziom wszystko to wisi razem, to jestem uszy :)
To było naprawdę miłe z twojej strony, że poświęciłeś czas i złożyłeś miłą odpowiedź. Dziękuję Ci. –
@EduardoRascon nie ma problemu, że znalazłeś przydatny –