小议CslaIdentity的安全性

CSLA.NET 专栏收录该内容
2 篇文章 0 订阅
    /// <summary>
    /// 客户端登录类
    /// </summary>
    public class OEAPrincipal : CslaPrincipal
    {
        private OEAPrincipal(IIdentity identity)
            : base(identity)
        { }

        public static bool Login(string username, string password)
        {
            var identity = OEAIdentity.GetIdentity(username, password);
            if (identity.IsAuthenticated)
            {
                OEAPrincipal principal = new OEAPrincipal(identity);
                Csla.ApplicationContext.User = principal;
                return true;
            }
            else
            {
                Csla.ApplicationContext.User = new UnauthenticatedPrincipal();
                return false;
            }
        }

        public static void Logout()
        {
            Csla.ApplicationContext.User = new UnauthenticatedPrincipal();
        }
    }



    public sealed class OEAIdentity : CslaIdentity
    {
        #region  Factory Methods

        internal static OEAIdentity GetIdentity(string username, string password)
        {
            //如果注入以下代码,哪么问题就严重了
            //var hackuser = DataPortal.Fetch<OEAIdentity>(new UsernameCriteria(username, password));
            //hackuser.Roles.Add("SuperMan");
            //return hackuser;
            return DataPortal.Fetch<OEAIdentity>(new UsernameCriteria(username, password));
        }
}

因为以上的两个类都必需运行在客户端,所以存在代码被非法修改的可能。如果客户端在OEAIdentity中注入了代码,哪么问题就严重了。

目前好的解决方案是在服务端建立登录用户的列表,并分配唯一的Guid值,每次检查权限时,都在服务端的用户列表中进行检索。



  • 0
    点赞
  • 0
    评论
  • 0
    收藏
  • 一键三连
    一键三连
  • 扫一扫,分享海报

©️2021 CSDN 皮肤主题: 大白 设计师:CSDN官方博客 返回首页
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值