Web应用程序中的业务逻辑安全

Question

几周前，我问了一个关于how to secure a Business Layer最佳实践的问题。

同时，我有一些基于PrincipalPermission的内容和一些用于具体检查的自定义代码。但我仍然对这个解决方案不太满意，并为如何使它变得更好而苦苦挣扎。

我仍在努力实现的目标：

如果it

• Inheritance:上没有声明任何方法调用，则确保默认拒绝每个方法调用，定义一个基类上的基本权限，该基类获取易于用于特定检查的inherited

• Something，即

。

我不想使用OAP，因为它适用于泛型类，而且也有一些限制。

附加问题:是否有某种可以通过应用程序实现的安全框架？

我正在使用ASP.NET / MVC并以.net 4.0为目标

Answer 1

.Net框架不包含除System.Security.Principal之外的任何内容。

有一些有用的建议，包括ASP.Net成员资格，或者在this earlier related question上使用示例代码滚动自己的解决方案。