如何解决对某些用户限制服务的最佳方法是什么
| 编辑:改写和简化的问题是为了简化... 在我的服务层中,我有类似GetAllMessages(string userid);
我的系统上可能有各种类型的用户,例如客户/供应商等...
该服务仅适用于所有类型的用户,但是,实现仅适用于选定用户的服务的最佳方法是什么(例如,
DeleteAllMessages(string userid); //client only
NewSupplierMessages(string userid); //supplier
通常,这些方法将在一个称为MessagesService的类中
注意:只是为了澄清,用户已登录并通过身份验证,但是我想知道是否应该这样编写我的方法:
DeleteAllMessages(ClientUser user); //client only
NewSupplierMessages(SupplierUser userid); //supplier
基本上以更强类型的方式获取每个操作和调用方法的用户详细信息...
编辑2:
请注意,我的域层与Web应用程序位于单独的类库中,\“客户端用户\”将成为\“客户端\”的一部分,类似地,\“供应商用户\”将成为\“供应商\”的一部分-因此,如果我想查询我的服务层并调用正确的代码(即检索正确的详细信息)-我必须传递用户ID或用户的强类型类,那么我将看不到DTO对象上有何约束表示谁可以不正确/脆弱地访问服务?
否则,我将有以下内容:
GetClientDetails();
用户由asp.net处理,因此我们知道用户可以访问此操作,但是如果有多个客户端怎么办?当然,然后我们必须传递一些客户端ID /如果要传递用户ID,则可以从中获取客户端ID ...
相反,我会说我的域层在看到类似上述签名的内容时是错误的...
编辑3:
我能想到的唯一其他选择是,当用户进行身份验证时,将使用情况存储在asp.net mvc应用程序内部的UserSession类中,作为全局状态,然后使用DI(ninject)将其注入到我的域服务层中,因此当我的签名可以
GetClientDetails();
实现此接口的域服务类可以是:
public class ClientService : IClientWorkerService
{
private ISession _session;
private IGenericRepo = _repo;
public ClientService(IUserSession _session,IGenericRepo _repo)
{
this._session = _session;
this._repo = _repo;
}
public ClientDetails GetClientDetails()
{
var loggedonuser = _session.GetUser();
if(!loggedonuser.isClient())
throw new NoAccessException()
return _repo.Single<Client>(x=> x.ClientID == loggedonuser.ClientID);
}
}
解决方法
请参阅MSDN:ASP.NET授权
授权确定是否
身份应被授予访问权限
具体资源。在ASP.NET中
有两种授权访问
给定资源:
文件授权
文件
授权由
FileAuthorizationModule。它检查
.aspx的访问控制列表(ACL)
或.asmx处理程序文件来确定
用户是否应有权访问
文件。 ACL权限已验证
用户的Windows身份(如果
Windows身份验证已启用)或
Windows的身份
ASP.NET进程。了解更多信息,
请参见ASP.NET模拟。
URL授权
URL授权
由
UrlAuthorizationModule,它映射
用户和角色到ASP.NET中的URL
应用程序。该模块可以使用
有选择地允许或拒绝访问
应用程序的任意部分
(通常是目录)以用于特定
用户或角色。
ASP.NET中的身份验证和授权选项概述
构建安全的ASP.NET应用程序:身份验证,授权和安全通信
基于角色的访问控制
基于自定义角色的Web服务访问
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。