基于ASP.NET角色的安全性是一个真正的基于角色的访问控制系统吗？

Question

从我从this paper 阅读我明白，一个基于角色的访问控制系统是一个用户可以被分配到的角色，其中角色指定的权限来执行的对象 的操作，但在asp.net中，我们不指定“上的操作对象”，我的意思是在这里，我们怎么可以指定‘在角色r的所有用户都可以对对象O’ 哪里是在ASP.Net

的对象部分

Answer 1

安全模型是asp.net相当有限。实质上，你只能在角色级别进行控制。这意味着对于任何操作，您必须测试以查看用户是否是您希望允许执行该操作的任何角色。

我们定义了我们自己的模式，让更多的粒度的路径。基本上我们定义操作并将这些操作分配给各种角色。通过这种方式，我们可以测试他们是否拥有“删除帐户”权限与测试他们是否在“管理员”，“帐户管理员”或任何其他角色中。这与Active Directory的工作方式非常相似。此外，它允许我们根据需要重新配置角色。

有一个名为Authorization Manager (AzMan)随Windows件。它可以与您的会员供应商合作提供操作级别控制。有些人已经取得了成功，但其他人抱怨说很难找到工作。我们大约5年前在一个项目中使用了它，当时它大约有95％的时间工作。其他5％与我们的AD控制器存在通信问题。

这使我们对您的问题：是建立在ASP.Net成员提供了一个真正的基于角色的访问控制系统？不可以。它允许您定义角色，而不是操作。

Answer 2

要实现删除操作的删除，所以它由您来检查登录的用户是否有权删除该对象。例如，您可以创建一个角色“CanDeleteOs”。然后，您的代码将如下所示：

if (!Roles.IsUserInRole("CanDeleteOs")) 
    throw new Exception("User does not have permission to delete O's."); 

Answer 3

退房犀牛的安全，如果你需要的东西更细粒度的。

Answer 4

如以前发布建议，以达到更精细，你就需要建立在现有ASP.net成员资格和角色提供。还有如http://www.visualaccesscontrol.com第三方控件提供了基于模块的访问安全和数据访问安全性以及作用。借助Visual Access控件，您可以将管理功能添加到您的ASP.net Web应用程序，以动态地限制用户访问允许执行的活动以及允许他们根据各自角色查看的数据子集。