我正在做的基礎上,文章Securing Dynamic Data Preview 4 Refresh動態數據網站安全許可制度。系統包含額外的權限種類:「如果記錄不屬於用戶所有權,則拒絕記錄/域的操作」。動態讓表/列只讀/隱藏在ASP.NET DD
如果一個用戶只能讀取自己的對象,我們必須在詳細列表和檢查權限始終啓用過濾器。如果用戶只能編寫自己的對象,我們需要在編輯和刪除中檢查權限,從列表中刪除一些行中的「編輯/刪除」鏈接,使「用戶」字段只讀,並在插入中提供其值。我沒有考慮過這種列級權限。
所以,主要的問題,因爲我看到在這一刻:太多的地方放置相同的檢查(我根本就沒想到惡意用戶各具特色的POST數據)。此外,我不能讓使插入字段在同一只讀並且具有顯示並保存到DB值(我不希望把該模型中的部分類,因爲我認爲,已經有太多的地方需要編輯才能實現此功能)。
- 有沒有一個地方否認讀取或依賴於對象值的對象寫操作?
- 我怎樣才能提供一個默認值到外地,這樣它會插入網頁上顯示,插入到數據庫,不能由用戶插入之前可以更改?