对某些用户限制服务的最佳方法是什么

如何解决对某些用户限制服务的最佳方法是什么

| 编辑：改写和简化的问题是为了简化... 在我的服务层中，我有类似

GetAllMessages(string userid);

我的系统上可能有各种类型的用户，例如客户/供应商等... 该服务仅适用于所有类型的用户，但是，实现仅适用于选定用户的服务的最佳方法是什么（例如，

DeleteAllMessages(string userid); //client only
NewSupplierMessages(string userid); //supplier

通常，这些方法将在一个称为MessagesService的类中注意：只是为了澄清，用户已登录并通过身份验证，但是我想知道是否应该这样编写我的方法：

DeleteAllMessages(ClientUser user); //client only
NewSupplierMessages(SupplierUser userid); //supplier

基本上以更强类型的方式获取每个操作和调用方法的用户详细信息... 编辑2：请注意，我的域层与Web应用程序位于单独的类库中，\“客户端用户\”将成为\“客户端\”的一部分，类似地，\“供应商用户\”将成为\“供应商\”的一部分-因此，如果我想查询我的服务层并调用正确的代码（即检索正确的详细信息）-我必须传递用户ID或用户的强类型类，那么我将看不到DTO对象上有何约束表示谁可以不正确/脆弱地访问服务？否则，我将有以下内容：

GetClientDetails();

用户由asp.net处理，因此我们知道用户可以访问此操作，但是如果有多个客户端怎么办？当然，然后我们必须传递一些客户端ID /如果要传递用户ID，则可以从中获取客户端ID ... 相反，我会说我的域层在看到类似上述签名的内容时是错误的... 编辑3：我能想到的唯一其他选择是，当用户进行身份验证时，将使用情况存储在asp.net mvc应用程序内部的UserSession类中，作为全局状态，然后使用DI（ninject）将其注入到我的域服务层中，因此当我的签名可以

GetClientDetails();

实现此接口的域服务类可以是：

public class ClientService : IClientWorkerService
{

    private ISession _session;
    private IGenericRepo = _repo;
    public ClientService(IUserSession _session,IGenericRepo _repo)
    {
      this._session = _session;
      this._repo = _repo;
    }

    public ClientDetails GetClientDetails()
    {
      var loggedonuser = _session.GetUser();

      if(!loggedonuser.isClient())
        throw new NoAccessException()

      return _repo.Single<Client>(x=> x.ClientID == loggedonuser.ClientID);
    }

}

解决方法

请参阅MSDN：ASP.NET授权授权确定是否身份应被授予访问权限具体资源。在ASP.NET中有两种授权访问给定资源：文件授权文件授权由 FileAuthorizationModule。它检查 .aspx的访问控制列表（ACL）或.asmx处理程序文件来确定用户是否应有权访问文件。 ACL权限已验证用户的Windows身份（如果 Windows身份验证已启用）或 Windows的身份 ASP.NET进程。了解更多信息，请参见ASP.NET模拟。 URL授权 URL授权由 UrlAuthorizationModule，它映射用户和角色到ASP.NET中的URL 应用程序。该模块可以使用有选择地允许或拒绝访问应用程序的任意部分（通常是目录）以用于特定用户或角色。 ASP.NET中的身份验证和授权选项概述构建安全的ASP.NET应用程序：身份验证，授权和安全通信基于角色的访问控制基于自定义角色的Web服务访问

对某些用户限制服务的最佳方法是什么

如何解决对某些用户限制服务的最佳方法是什么

解决方法

相关推荐