Ali*_*i B 7 asp.net-web-api breeze durandal hottowel
我是整个客户端SPA世界的新手.我正在使用上述技术,这似乎很有前途.然而,一个我无法轻易克服的巨大障碍是缺乏内置安全性.我不得不手动推出用户授权,恕我直言应该是框架的一部分.
现在我已对其进行了排序,我对垂直安全性感到头疼:一个用户登录但可以通过更改浏览器控制台中的一些参数轻松访问其他用户的信息.我可以在每次调用时传递userId,然后将其与服务器上的那个进行比较,但我希望有一个总体解决方案,不会污染用户ID的微风数据调用.
例如,假设有一个来自数据服务的调用,如下所示:
function getItems(){
var query = breeze.EntityQuery.from('Items').expand("Person");
return manager.executeQuery(query);
}
这将得到所有项目,不好.所以让我们限制userId:
function getItems(userId){
var query = breeze.EntityQuery.from('Items').where("userId", "==", authentication.userId).expand("Person");
return manager.executeQuery(query);
}
在第二个示例中,我们从身份验证服务获取userId,该服务在用户登录时存储userId.但是,恶意用户可以轻松访问浏览器控制台并更改该值.
当然,我可以使用withParameters(...)传递userId并将其与服务器上的当前版本进行比较,但我必须为每次调用执行此操作,这似乎不正确.有没有更好的方法来保护可信用户ID的呼叫?
War*_*ard 12
@Ali - 我理解你的痛苦和关心.您有权担心依赖于URL中传递的信息的任何形式的所谓安全性.幸运的是,您的问题有很好的答案,Breeze应用程序可以很好地与他们合作.
例如,您是否研究过ASP.NET Breeze/Knockout模板?它使用Forms Auth进行身份验证,并使用[Authorize]属性保护Web API控制器.只有登录用户才能访问任何控制器方法.
该身份验证还设置IPrincipalWeb API控制器通过其User属性提供的内容.你会看到User传递给的构造函数TodoRepository.在该存储库中,您将找到限制查询的保护逻辑,并将其保存到属于请求用户的Todo信息.
看看网络流量.您将无法在URL或请求/响应正文中找到任何用户标识信息.您将在标头中看到加密的身份验证cookie.
该示例中的一个明显缺陷是客户端/服务器流量以明文形式发生.您必须在开始生产之前添加传输级别安全性(HTTPS).但毕竟这是一个演示.
| 归档时间: |
|
| 查看次数: |
3567 次 |
| 最近记录: |