首页 文章

Azure移动应用服务安全性

提问于
浏览
0

我一直在研究Azure移动应用服务,我吓坏了,因为我觉得我错了 .

我有一个Azure移动应用程序服务,问题是我正在尝试为它实现“自定义”身份验证(自定义身份验证的原因是我有一个Web应用程序和Web API,它使用相同的数据库并向移动服务应用程序发送REST请求更新数据库,他们都使用asp.net身份)

但在我在移动应用服务中实现自定义身份验证之前,即使身份验证是自定义的并且我手动检查用户,我也无法理解这一点,一旦生成令牌并且用户被授权,用户就可以访问所有表中的数据 . 因此,如果我是user1和登录,移动应用服务将验证我,一旦我有auth令牌,我可以简单地做REST请求对所有数据做任何事情 .

如何限制生成的令牌仅用于CRID仅用户的数据,在我的表中我也有UserId列 .

我很迷茫 . 任何帮助将不胜感激 .

azure azure-mobile-services

1 回答

  • 1

    我如何限制生成的令牌仅用于仅CRID用户的数据,在我的表中我也有UserId列 .

    根据我的理解,您可以按照Per-User Data并利用以下属性从传入的Easy Auth令牌中检索当前的UserID:

    public string UserId
{
    get
    {
        var principal = this.User as ClaimsPrincipal;
        return principal.FindFirst(ClaimTypes.NameIdentifier).Value;
    }
}

    有关处理需要限制为生成令牌的用户的CURD操作的完整教程,您可以按照Data Projection and Queries进行操作 .

    回复于

相关问题