代码之家  ›  专栏  ›  技术社区  ›  Chris

dotnetnuke中的安全文件下载

  •  0
  • Chris  · 技术社区  · 14 年前

    我对dotnetnuke比较陌生,我正在尝试建立一个简单的站点,它将有多个用户组和他们自己的一组文件,然后是另一个可以访问所有文件的用户。

    我现在正在用“文档”模块来做这件事,并且对所有用户(除了everything用户和特定的公司用户)隐藏该模块。这很好,但安全似乎只是默默无闻的安全。

    如果我作为用户A登录并访问文件A并复制其url。然后我注销并以用户B的身份登录,用户B看不到该文件。如果我把文件的网址放进浏览器,它似乎可以下载。

    有人能告诉我,如果我做错了什么,或是没有实际的基于用户的安全文件下载?我试着转到实际的文件管理器,并使用户B显式地看不到这些目录(它们也是安全的目录),但它仍然存在。我在文件级的某个地方缺少权限选项,或者安全性只是为了阻止您找到指向文件的正确链接?我承认链接是不可猜测的(没有连续的ID在url或任何愚蠢的事情),但我还是有点不舒服的安全工作这样。。。

    3 回复  |  直到 14 年前
        1
  •  1
  •   SidC    14 年前
        2
  •  0
  •   Chris    14 年前

    执行基于角色的安全保护,以防止未经授权的用户下载文件并在“文档”视图中看到它。

        3
  •  0
  •   mika    14 年前

    文档模块为 路由到ASP.NET的URL。

    如果实际文件位于站点根文件夹下的文件系统中,

    如果不想接触IIS和管理Windows帐户,则不能将文件直接存储在任何公开可用的IIS文件夹下。ASP.NET应用程序级别的安全性是使用文件加密或将文件存储在公共IIS文件夹之外(如数据库中)来实现的。DNN文件管理器提供以下两个选项:文件系统中的安全文件夹和数据库中的安全文件夹。

    NukeTransfer .