我是一名尝试解决RavenDB安全问题的SQL Server DBA。如果我想设计一个应用程序安全性,我将为每个实际用户使用一个系统用户和一个应用程序用户。RavenDB身份验证和授权
是我的问题是,我怎么可以设置应用程序的用户的上下文。我需要向SecureFor()提供应用程序的用户名和操作。但是,我可以从哪里获取应用程序用户(已登录的用户)的信息,而无需在应用程序中对其进行硬编码。
我在RavenDB网站上看到的例子是在SecureFor中的硬编码用户,但在现实生活中,我将假定用户名将与实际用户相关,这将是动态的。
问候, Venky
感谢大卫的解释得很清楚。我确实有一个后续问题。 –
感谢David对此非常明确的解释。我确实有一个后续问题。我的印象是,应用程序用户(来自authroization包的用户)需要像SQL Server中的应用程序用户那样进行验证,但我现在明白RavenDB只是在SecureFor()中提到的用户ID。是否正确?再次感谢Venky –
是的,您仍然需要授权(验证)传入用户的凭据。这是认证和授权的根本区别。假设您已经验证了用户的身份,RavenDB软件包只会进行授权。 –