我正在使用 ASP.Net MVC 2 和 SQL Server 数据库实现一个 SaaS 应用程序。我正在使用共享租赁方法。
要过滤数据,目前我找到了两种方法。
选项 1:http://msdn.microsoft.com/en-us/library/aa479086.aspx#mlttntda_tvf
对每个租户使用 sql 登录。因此,在视图中使用 SUSER_SID() 作为过滤器
选项 2:http://blogs.imeta.co.uk/jyoung/archive/2010/03/22/845.aspx
在 Context_Info 中存储租户 ID。因此,使用从 Context_Info 中读取租户 ID 的 sql 函数作为视图中的过滤器。
您能帮我选择合适的选项吗?
谢谢 谢谢
【问题讨论】:
标签: sql-server asp.net-mvc-2 saas multi-tenant
我认为这可以归结为安全模型之战。 DBA 可能会坚持你做前者。我更加务实,可能会将租户 ID 传递给我的 SP 或来自应用层的查询。
我会通过大量单元测试来支持这一点,以确保一个租户永远无法看到另一个租户的数据,并且我只会将当前租户存储在会话或类似的服务器上,而不是存储在 cookie 或 URL 中,或任何其他可以在客户端被黑的地方。
这使得添加新租户变得更加容易,因为不需要数据库配置。
当然,会话可能会被黑客入侵,因此您需要采取一切预防措施以确保无论您在服务器上存储租户 ID,它都不会受到欺骗等的影响。
【讨论】:
Session["TenantID"] = user.TenantID ) 这样您就不必在每次请求时都在数据库中查询用户的个人资料。我可能会将代码放在我的基本 Controller 类中,以确认允许用户访问查询字符串中的 TenantID;如果没有,它会重定向。
我要补充一点,内联表值函数也可用于构建任何隔离层。
【讨论】: