标签: authorization

我有一个管理区域,我只想要管理员进入该区域.我考虑过将Adminized属性添加到Admin区域中的每个控制器.是不是有优雅的解决方案,还是框架本身没有这个功能？

编辑:对不起,我之前应该提到这个.我正在使用从AuthorizeAttribute派生的自定义AuthorizedAttribute.

我已经完成了授权步骤并获得了访问令牌和刷新令牌.

我应该怎么做才能使用我通过谷歌驱动API存储的刷新令牌生成访问令牌？

因为我在Force.com上工作所以我将无法使用任何sdk所以请建议直接通过API实现它的方法.

我是否认为Cloud Endpoints的优点具有以下限制:

1. REST Api无法部署到自定义域(它将保留在appspot.com上).
2. 支持的唯一身份验证是针对Google帐户的OAuth.
   1. 推论:目前无法创建与G​​oogle帐户无关的用户登录/会话跟踪机制(例如,使用电子邮件作为用户名和密码).

有没有计划取消这些限制？如果是,那么ETA是什么？

[Authorize] 属性很好,方便的MS发明,我希望它能解决我现在遇到的问题

更具体:

当前客户端未经过身份验证时 - [Authorize]从安全操作重定向到登录页面,并且在登录成功后 - 将用户带回,这很好.

但是当当前客户端已经过身份验证但没有被授权运行特定操作时 - 我只需要显示我的常规403页面.

是否可以在控制器体内移动授权逻辑？

更新:我需要的行为应该在语义上等于这个草图:

public ActionResult DoWork()
{
    if (!NotAuthorized())
    {
        // this should be not redirect, but forwarding 
        return RedirectToAction("403");         
    }

    return View();
}

所以 - 应该没有任何重定向和url应该保持不变,但页面的内容应该替换为403页

更新2:我以这种方式实现了草图:

[HandleError]
public class HomeController : Controller
{
    public ActionResult Index()
    {
        ViewData["Message"] = "Welcome to ASP.NET MVC!";

        return View();
    }

    [CustomActionFilter]
    public ActionResult About()
    {
        return View();
    }

    public ActionResult Error_403()
    {
        return Content("403");
    }
}

public class CustomActionFilter …

我使用Jersey Framework和Java在Netbean IDE中编写了一个REST Web服务.

对于用户需要提供用户名和密码的每个请求,我知道此身份验证不是最佳做法(使用curl命令,如:)curl -u username:password -X PUT http://localhsot:8080/user.

现在我想从Android类调用REST Web服务.

我该怎么办？

我有一个使用DefaultHttpClient和的Android类CredentialUsernameAndPassword,但是当我在Eclipse中运行它时,有时会遇到运行时异常或SDK异常.

是否可以在HTTP消息中包含多个授权标头？具体来说,我想包括一个承载令牌类型(传递OAuth访问令牌)和一个基本类型(传递base64编码的用户名:密码).

GET /presence/alice HTTP/1.1 
Host: server.example.com
Authorization: Bearer mF_9.B5f-4.1JqM
Authorization: Basic YXNkZnNhZGZzYWRmOlZLdDVOMVhk

我认为没有理由这是不可能的,只是想与社区一起审查以确定.

即使用户知道某些页面的URL,我也想阻止访问某些页面.例如,/localhost:8080/user/home.xhtml(需要先登录)如果没有记录则重定向到/index.xhtml.

在JSF中如何做到这一点？我在Google上读到需要过滤器,但我不知道该怎么做.

我有基本授权的PHP卷曲请求有问题.

这是命令行curl:

curl -H "Accept: application/product+xml" "https://{id}:{api_key}@api.domain.com/products?limit=1&offset=0"

我试过通过以下方式设置curl标题,但它不起作用

Authorization: Basic id:api_key
or 
Authorization: Basic {id}:{api_key}

我得到响应"请求中的身份验证参数丢失或无效"但我使用了正确的id和api_key,它在命令行curl中工作(我测试过)

请帮我.

我试图避免使用角色提供者和成员资格提供者,因为在我看来它过于笨拙,因此我正在尝试制作我自己的"版本",它不那么笨拙,更易于管理/灵活.现在是我的问题..角色提供者有替代方案吗？(我知道我可以做自定义角色提供者,会员提供者等)

通过更易于管理/灵活,我的意思是我只能使用Roles静态类而不是直接实现到与数据库上下文交互的服务层,而是我必须使用具有自己的数据库上下文的Roles静态类等,表名也很糟糕..

提前致谢.

在我的ASP.NET MVC应用程序中,我有大多数控制器装饰

[Authorize(Roles="SomeGroup")]

当用户无权访问某些内容时,会将其发送到"〜/ Login",这是我的帐户控制器上的"登录"操作.

如何确定用户因未获得授权而已到达登录页面,以便我能够显示相应的错误？