web应用中的安全方法

不要重新发明轮子

编辑:存储用户ID-你不必。您可以随时从MembershipProvider获取它,只要用户已登录。当然:

MembershipUser user = Membership.GetUser();
Guid UserID = user.ProviderUserKey;

http://odetocode.com/articles/427.aspx

另外,Scott Guthrie的精彩系列: http://weblogs.asp.net/scottgu/archive/2006/02/24/ASP.NET-2.0-Membership_2C00_-Roles_2C00_-Forms-Authentication_2C00_-and-Security-Resources-.aspx

一般来说,采用这种方法:使用表单身份验证来验证用户是谁。这是安全性的身份验证方面。也就是说,通常通过用户名和密码来确定用户是他们所说的人。

User: may contain extended profile information captured on registration
Resource: a page or other resource that can be restricted.
Group: a group of users who can access resources due to their group membership (groups are granted resource access)
Role: a type of user such as Administrator/Developer/Salesperson. 

因此,要授予用户对routeid854(资源)的访问权,您可以直接将资源授予该用户,或者如果有多个用户应该访问该资源,并且这些用户形成一个自然组,则创建该组,将资源授予该组,并将用户添加到该组。

if(!User.IsInRole("RoleName"))
{
  //redirect to access denied page
}

使用provider模型有很多好处。

http://weblogs.asp.net/scottgu/archive/2006/01/10/435038.aspx

最好的方法是将userId和routeId一起发送到数据库,以查看用户是否可以访问它。

select * from route where routeId=@routeId and userId=@userId

public Route Get(int routeId, int userId)
{
    var query repository.Get<Route>().Where(r => r.Id == routeId);
    query = applySecurityModel(query, userId);
    return query.FirstOrDefault();
}

private IQueryable<T> applySecurityModel<T>(IQueryable<T> query, int userId) where T : ISecurable
{
    return query.Where(t => t.UserId == userId);
}

public interface ISecurable
{
    int UserId { get; set; }
}

public class Route
{
    int Id { get; set; }
    int UserId { get; set; }
}