标签: authorization

嗨,我想知道在到达网站时强制用户登录的最佳方法是什么.net.我已经设置了成员身份功能,我想知道什么是确保无论用户到达什么地址的最佳方法,他们必须首先获得身份验证,然后才能进入他们请求的页面.任何资源都会很棒,谢谢.

即使我在模型中添加了"acts_as_authentic",我也无法在Authlogic中获取用户模型来理解"密码"方法.在Authlogic灯塔上也报道了这个问题,但没有人描述他们如何修复它:

http://binarylogic.lighthouseapp.com/projects/18752/tickets/128-undefined-method-password-on-rails-231#ticket-128-9

用户表存在所有必需的字段,控制器和其他所有内容肯定遵循教程中的字母.

谁知道什么可能是错的？

(哦,我正在运行Rails 2.3.3,Authlogic 2.1.1)

在我的宠物项目中,我想要一个具有以下要求的用户系统:

• 它需要与Db4o一起作为持久性模型
• 我想使用DI(通过Turbine)为我的用户模型提供所需的依赖项
• 它需要很容易插入asp.net-mvc
• 它需要在没有太多麻烦的情况下进行测试
• 它需要像SO那样支持匿名用户
• 我希望身份验证和授权分开(第一个可以没有第二个生存)
• 它需要是安全的

我知道我在这里提供了一些技术,但是因为它是一个宠物项目,我想学习一些新东西,我认为将它们作为要求包括在内是合理的.

在我自己的中途,我意识到我可能患有一些NIH综合症.
因为我不太喜欢asp.net中现有的用户框架是多么复杂,所以实际上大多数只是关于安全的所有更复杂的东西,现在给我一些疑虑.继续推出我自己是否可以辩护？如果不是,您将如何使用现有的基于IPrinciple的框架来满足所有上述要求？

原始问题:

我读了RESTful网站.使用$ _SESSION是不好的.为什么不好？那么如何在不查找数据库的情况下对用户进行适当的身份验证以检查用户的角色？

我读到使用$ _SESSION是不好的.

http://www.recessframework.org/page/towards-restful-php-5-basic-tips

我正在创建一个网站,而不是PHP中的Web服务.而我正在努力使它更加RESTful.至少在精神上.

现在我正在重写使用Form标签POST的所有操作,并添加一个名为_method的隐藏值,删除操作将为"delete",更新操作将为"put".

但是,我不确定为什么建议不要使用$ _SESSION.我想知道为什么以及我该怎么做才能改进.

为了便于授权检查,我做的是登录用户后,用户名存储在$ _SESSION中.

每当用户导航到页面时,页面将检查用户名是否存储在$ _SESSION中,然后基于$ _SESSION检索包括数据库特权在内的所有信息,然后根据检索到的信息评估访问页面的授权.

我实施的方式是不是很糟糕？不RESTful？我如何提高性能和安全性？

谢谢.

我的asp.net Web应用程序中有一些.aspx页面,只有管理员才能看到所有用户都能看到的.aspx页面.如何限制正常用户访问用于管理员的页面？

更多我没有实现asp.net的授权,我的意思是说我正在使用会话和标志变量实现自己的身份验证.如何根据此方案中的权限将内容限制为用户？

所有!

我只是看到symfony2路由器不使用uri的主机部分.我需要将COUNTRY分隔为第三个子域,将locale分隔为路径路径中的第一个元素

http:// {country} .mysite.com/{_locale}/myaction,即

en.mysite.com/en/action ---英语公司和英语

de.mysite.com/ru/action --- deutschland公司和俄语

ru.mysite.com/uk/action ---俄罗斯公司和乌克兰语

通过以下服务解决了这个问题:

-- config.yml

services:
   kernel.listener.subdomain_listener:
       class: Acme\DemoBundle\Listener\SubdomainListener
       tags:
           - { name: kernel.event_listener, event: kernel.request, method: onDomainParse }

-- SubdomainListener.php

<?php

namespace Acme\DemoBundle\Listener;

use Symfony\Component\EventDispatcher\EventDispatcher;
use Symfony\Component\EventDispatcher\Event;

class SubdomainListener
{
   public function onDomainParse(Event $event)
   {
       $request = $event->getRequest();
       $session = $request->getSession();

       // todo: parsing subdomain to detect country

       $session->set('subdomain', $request->getHost());
   }
}

但是......问题是:如何在几个子域之间透明地实现AUTH进程一次只能进行一次？

1. 用户通过en.mysite.com/{_ locale}/...登录

2. 用户访问de.mysite.com/{_ locale}/...但是系统知道他(她)并且没有再次询问登录/密码凭据

有人帮帮我吗？谢谢你提前!认证高级Oracle开发人员/ DBA

我想为我的应用程序的每个用户存储一个对象列表.

我想补充一个List的Meeting对象为每个用户.当然,我想用Entity Framework进行这项工作

public class Meeting{
    int Id {get;set;}
    Person Person {get;set;}//Meeting with person
    DateTime DateTime{get;set;}
}

问题:我应该把它添加到tha AccountModels.cs吗？我应该在哪里添加它？它应该是公正的会议吗？或许我需要他们之间的联想课？

我发布AccountModels.cs下面的文件的内容.

using System;
using System.Collections.Generic;
using System.ComponentModel.DataAnnotations;
using System.ComponentModel.DataAnnotations.Schema;
using System.Data.Entity;
using System.Globalization;
using System.Web.Security;

namespace OdeToFood.Models
{
    public class RegisterExternalLoginModel
    {
        [Required]
        [Display(Name = "User name")]
        public string UserName { get; set; }

        public string ExternalLoginData { get; set; }
    }

    public class LocalPasswordModel
    {
        [Required]
        [DataType(DataType.Password)]
        [Display(Name = "Current password")]
        public …

我想有两个主页,第一个是未登录的用户,第二个是登录用户.

这是我目前的设置:

.config(function ($stateProvider, $urlRouterProvider, $locationProvider, $httpProvider) {
    $urlRouterProvider
      .otherwise('/');

    $locationProvider.html5Mode(true);
    $httpProvider.interceptors.push('authInterceptor');
  })

  .factory('authInterceptor', function ($rootScope, $q, $cookieStore, $location) {
    return {
      // Add authorization token to headers
      request: function (config) {
        config.headers = config.headers || {};
        if ($cookieStore.get('token')) {
          config.headers.Authorization = 'Bearer ' + $cookieStore.get('token');
        }
        return config;
      },

      // Intercept 401s and redirect you to login
      responseError: function(response) {
        if(response.status === 401) {
          $location.path('/login');
          // remove any stale tokens
          $cookieStore.remove('token');
          return $q.reject(response);
        }
        else {
          return $q.reject(response);
        } …

我在寻找授权库Common Lisp的,像cancancan或权威人士对像,穴居人,苜蓿或辐射web框架网页aplication存在的认证,或CL-的OAuth,但我无法找到任何quicklisp.任何建议可以帮助

在ASP.Net Core 3.0 Preview 7中，我尝试编写一些代码，如下所示：

  public void Configure(IApplicationBuilder app) {

            app.MapWhen(context =>
                context.Request.Path.StartsWithSegments(
                      new PathString("/UnsecureLog")),
                a => {
                    a.UseRouting();
                    a.UseEndpoints(endpoints => {
                        endpoints.MapControllers();
                    });
                }
            );
            app.UseAuthentication();
            app.UseAuthorization();

            app.MapWhen(context =>
                context.Request.Path.StartsWithSegments(
                   new PathString("/SecureLog")),
                a => {
                    a.UseRouting();
                    a.UseEndpoints(endpoints => {
                        endpoints.MapControllers()
                            .RequireAuthorization("MustBeReader");
                    });
                }
            );
        }

我的目标是允许无需身份验证即可在中间件中处理某些控制器，而我的想法是MapWhen（）是实现这一目标的方法。

相反，我在到达/UnsecureLog端点时看到此错误：

System.InvalidOperationException: Endpoint ... contains authorization metadata,
but a middleware was not found that supports authorization.
Configure your application startup by adding app.UseAuthorization()
inside the call to Configure(..) in the application …