我可以使用索赔来使用PostShaRP保护EF字段吗?
https://stackoverflow.com//questions/25076563
-
02-01-2020 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russian题
它可以使用基于索赔的权限来使用POST SHARCE来保护EF字段。我们有一个多租户的应用程序,我们正在搬到索赔,并且还有谁可以读取/写入什么领域。我看到了这一点,但它似乎是基于角色的 http://www.postsharp.net/aspepts/examples/security。
据我所知,它只是重写不可原成部分的情况。我们希望能够通过许可来装饰一个字段,默默地忽略任何写入,如果用户没有权限。我们也跳起来,如果他们读它,我们就可以在另一个值中交换。读取薪水并返回0如果您没有索赔ReadSalary。
是这些标准的事情,我从未做过任何严肃的AOP。所以只想在我提到这一点之前快速确认。
解决方案
是,可以在这种情况下使用PostSharp,并且应该非常容易从RBAC转换为基于索赔。
必须考虑的一件事是性能。在处理使用情况下经常访问装饰字段时(例如,在循环内部读取),则在冗余安全检查中浪费了大量时间。装饰代表最终用户使用情况的方法更合适。
当用户权限不足时,我会害怕默默地交换字段的值。当通过人工不预期的数据馈送算法时,它可能导致一些非常令人惊讶的结果。
不隶属于 StackOverflow
