【发布时间】:2010-07-22 17:18:53
【问题描述】:
我对 dotnetnuke 比较陌生,我正在尝试建立一个简单的站点,该站点将有多个用户组和他们自己的文件集,然后另一个用户可以访问所有文件。
我目前正在使用“文档”模块进行此操作,并将该模块隐藏在所有用户和特定公司用户之外。这工作正常,但安全似乎只是默默无闻的安全。
如果我以用户 A 的身份登录并访问文件 A 并复制其 url。然后我注销并以看不到该文件的用户 B 身份登录。如果我然后将文件 url 放入浏览器,它似乎下载正常。
谁能告诉我我做错了什么,或者文件下载没有基于实际用户的安全性?我已经尝试使用实际的文件管理器并使目录明确地对用户 B 不可见(它们也是安全目录),但它仍然存在。我是否在某处缺少文件级别的权限选项,或者安全性旨在阻止您找到指向文件的正确链接?我承认这些链接是不可猜测的(url 中没有连续的 id 或任何类似的愚蠢的东西),但我仍然对像这样的安全工作有点不舒服......
【问题讨论】:
标签: security dotnetnuke