如何保护来自 Hacking 的 MVC RESTful Urls？

Question

我最近读了一篇关于花旗集团黑客事件的有趣文章 http://www.nytimes.com/2011/06/14/technology/14security.html?_r=2&pagewanted=1&ref=technology

这让我想到，假设我的数据库中有一个包含 100,000 行的敏感员工数据表。该表有一个名为 Id 的主键，它是一个标识列。

员工可以登录 Web 门户并通过 RESTful Url ({Controller}/{Action}/{Id}) 检索其详细信息，例如/员工/详细信息/31

现在，是什么阻止我用 {Id} 参数替换任何参数（例如，Id = 32）和 检索员工 #32 的详细信息？花旗集团就是这样吗？

您如何防止这种情况发生？即用户已经在门户网站上进行了身份验证 但无权查看其他用户记录？我应该使用其他一些特定的“令牌”吗 除了 Id 之外的客户？

Answer 1

这是我在完全相同的情况下所做的，首先我声明了对象的扩展：

public static bool Editable(this EXPENSE_OBJ e)
{
    if (e != null)
    {
       UserRepository ur = new UserRepository();

       if (ur.CurrentUser().UserId == e.UserId) //Check if the user owns the claim
       {
           return true; //User owns the claim
       }
       else
       {
           return false; //User does not own the claim
       }

    }
}

然后在控制器中：

public ActionResult Details(id)
{
    var item = repo.GetItem(id);
    if(!item.Editable())
    {
         return View("InvalidURL");
    }

    ...

}

Answer 2

您将希望利用 ASP.NET 角色和成员资格 API。如果你已经这样做了，那么你需要做的就是用IsUserInRole检查标记控制器。 您可以在此处找到有关角色类的更多信息：

MSDN Roles Class

Answer 3

我使用了一个多对多表，该表保存了用户与允许他们修改的实体的 ID 之间的关系。每次有人试图更改其中一个实体时，我都会进行检查以确保他们被允许这样做。我还在包含实体的表上放置了一个触发器，该实体将在删除实体时删除该多对多表中的关联记录。这对我来说效果很好。

您可以做的另一件事是使用 Guid 而不是 int 作为主键。这将防止人们猜测主键。