1
我有我的分類基於某些角色,並使用URL授權不同的文件夾頁,例如我用下面的代碼在web.config中限制到管理的東西訪問:URL授權在ASP.NET中足夠安全嗎?
<configuration>
<system.web>
<authorization>
<allow roles="Admin" />
<allow roles="SuperAdmin" />
<deny roles="Member" />
<deny users="?"/>
</authorization>
</system.web>
</configuration>
我的問題是:那足夠安全? 或者我需要做一些其他的事情:在每個用戶想要做管理的事件中,我應該檢查他們是否在適當的角色?
編輯: 我使用「窗體身份驗證提供者」和「ASP.NET成員資格提供」用於身份驗證的用戶和會員,而且據我所知它是安全
這是否足夠安全是一個非常相對的問題。我不是一名asp.net程序員,但之前曾在安全方面工作過,而且我非常確定某些安全專家會在您的應用程序中找到整體。對於初學者來說,你的認證框架是什麼。 (理想情況下應該使用LDAP綁定等技術作爲過濾器來實現)。用戶角色是否被填充爲認證機制的一部分? – 2011-01-19 07:55:17