Текущее двухуровневое приложение
ASP.NET (членство/роли) — BL — DAL — DB
После аутентификации пользователя (членства) мы используем роли для облегчения авторизации в различных пунктах меню, таких как «Отчетность» и «Администрирование». Однако в рамках авторизации мы также должны учитывать фильтрацию ответов. Например, независимо от роли пользователя, метод получения оператора по идентификатору должен быть ограничен возможностью пользователя получать только те операторы, которые принадлежат ему через некоторую установленную связь с базой данных. Чтобы облегчить это, веб-приложение поддерживает в сеансе профиль (POCO), который внедряется в каждый объект BL (возможно, этот объект должен был быть включен в IIdentity
). Впоследствии внутри BL мы можем определить, действительно ли запрос на идентификатор X должен возвращать оператор, потому что мы знаем пользователя, который запрашивает этот оператор, и мы знаем связь между оператором и пользователями, которые должны иметь к нему доступ. .
Будущее трехуровневое приложение
ASP.NET (членство/роли) – WCF – BL – DAL – DB
Аутентификация, кажется, остается прежней, служба WCF может быть защищена паролем, чтобы гарантировать, что только наше веб-приложение (или любое другое, имеющее пользователя/пароль) имеет к нему доступ. Однако как мне упростить фильтрацию ответов? Существуют ли удобные механизмы для передачи IPrincipal
/IIdentity
ASP.NET службе? Если да, то как это ограничит меня, если в будущем у меня будет клиент, отличный от ASP.NET, для той же службы? Если нет, должна ли эта информация быть частью запроса dto или заголовка запроса?