ASP.NET MVC应用的综合安全解决方案

Question

如果您正在计划和准备一个大型的ASP.NET MVC项目，您将如何设计和构建全面、可扩展和可维护的安全解决方案？

• 用户，
• 角色，
• 控制器级和动作级安全，
• 项级安全性(将用户或角色应用于项)，
• 安全修整(根据上述设置隐藏一些菜单选项)。

如果你估计时间和精力来生产这件事，并必须向客户发放一份数量，它会是什么呢？你不需要给出一个钱的数字，只需要付账单的时间。

Answer 1

你不需要给出一个钱的数字，只需要付账单的时间。

你想要有人免费做你的工作？来吧..。

授权

无论如何，我会使用代码访问安全性和模拟在我的所有服务中实现安全性。检查PrinicpalPermission属性。

控制器/动作级

对于MVC，只需使用授权属性来提供授权。派生它以提供更细粒度的控件。

安全修整

if (System.Thread.Threading.CurrentThread.CurrentPricinpal.IsInRole("Administrator"))
   //show menu item

项目级

默认的MVC实现是不可能的。你需要在你的行动中做一个手动检查。

if (!System.Thread.Threading.CurrentThread.CurrentPricinpal.IsInRole(item.RequiredRole))
  return View("AccessDenied", null); //return accessdenied view.

身份验证

我不知道你有什么样的用户。所有注册都在AD域中吗？然后使用Windows身份验证对用户进行身份验证。这只是IIS设置..。