URL授权在ASP.NET中足够安全吗？

2018-06-04 23:28:03

我已根据某些角色和使用URL授权将我的页面归类到不同的文件夹中。例如，我在web.config中使用以下代码来限制对管理员的访问：

<configuration>
  <system.web>
    <authorization>
      <allow roles="Admin" />
      <allow roles="SuperAdmin" />
      <deny roles="Member" />
      <deny users="?"/>
    </authorization>
  </system.web>
</configuration>

我的问题是：这足够安全吗？或者我需要做一些其他的事情，比如：在每个用户想要做管理工作的事件中，我应该检查他们是否处于适当的角色？

编辑：我使用“表单身份验证提供程序”和“ASP.NET会员供应商”来验证用户和会员资格，并且据我所知它是安全的

这只能验证，没有用户获得任何页面交付，她没有被授权。由于您在业务层中执行了大量业务任务，因此您还需要检查那里的自动化。

大多数情况下，您无法避免在页面内部检查多个时间，因为页面通常会提供不同的内容，具体取决于低权限用户还是高权限用户请求它们。

一般来说，你必须自己决定你送出的每一条信息 - 是否可以？如果它不是一般的公共信息：想想，你怎么能有效地限制它？基于ASP.NET成员资格类的授权方案是很好的基础。

链接地址: http://www.djcxy.com/p/15961.html

上一篇: Is URL Authorization enough secure in ASP.NET?

下一篇: authorization issue in asp.net 2