Дизайн разрешений

Question

У меня есть приложение с содержимым, которое необходимо настроить для разрешений (т. Е. Участник / не участник)

У меня есть настройки ролей / аутентификации, это не моя проблема. Мой вопрос в основном спрашивает, как лучше хранить разрешения для каждого объекта. По сути, есть роли «Гость» и «Участник», а также простые разрешения «Разрешить» «Запретить» для каждого объекта.

Есть идеи? Программа написана на ASP.NET MVC с использованием C #, LINQ и MS-SQL 2005.

Answer 1

Если вы хотите защитить активы (файлы, строки базы данных, доменные объекты, документы и т. Д.) Вместо приложения функции или пользовательские способности , роль безопасность не очень подходит.

Лучшая модель - использовать Списки контроля доступа (ACL), как вы знаете из NTFS. Вы почти сказали это сами, потому что вам нужно назначить определенные разрешения для каждого объекта для каждого пользователя или роли. Вот что делает ACL.

Если вам нужно защитить объекты, которые в конечном итоге являются строками в SQL Server, вам необходимо определить пользовательские таблицы для ваших списков ACL, поскольку SQL Server не поддерживает разрешения на уровне строк.

На основе данных в этих списках ACL необходимо выполнить необходимые проверки безопасности в ваших компонентах доступа к данным.

Вот несколько ссылок на соответствующие ответы SO:

• Контроль доступа в ASP.NET MVC в зависимости от входных параметров / уровня обслуживания?
• Каков наилучший механизм для реализации гранулярной безопасности (т. Е. Авторизации) в приложении ASP.NET MVC?
• Как реализовать код приглашения для совместного использования ресурса с другим пользователем?