Авторизация web.config и прямой вызов метода

Question

Я использую ASP.NET и полагаюсь на файл web.config для защиты разделов моего сайта. Однако действительно ли это надежно или также стоит добавить проверку IsAuthenticated в событие Page_Load? Кроме того, возможно ли для кого-то напрямую вызывать методы (при условии, что они каким-то образом получили имена моих методов и сигнатуру метода) в DLL моего приложения? Например, у меня есть метод для добавления пользователей в определенную группу. Может ли злоумышленник каким-то образом вызвать этот метод через свой собственный POST и выполнить его? Спасибо

Answer 1

Если вы обеспокоены тем, что определенные методы выполняются без разрешения, я бы использовал защиту атрибутов кода или вашу собственную систему проверки ролей для защиты метода независимо от того, кто его вызывает. Я мог бы представить сценарии, когда даже дружественные разработчики вызывают методы случайно, не убедившись, что путь к коду имеет право выполнять привилегированные функции.