/ Forside / Teknologi / Udvikling / ASP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
ASP
#NavnPoint
smorch 9259
Harlekin 1866
molokyle 1040
Steffanst.. 758
gandalf 657
smilly 564
gibson 560
cumano 530
MouseKeep.. 480
10  Random 410
AJAX og adgangsstyring
Fra : Jørn Andersen


Dato : 08-11-07 08:32

Hej,

Jeg er blevet lidt inspireret af noget AJAX-snak i .clientside til at
lave en opslags-funktion i en medlemsdatabase.

Det fungerer sådan set fint nok, men hvordan styrer man adgangskontrol i
sådan en situation?

Jeg har en "almindelig" ASP-login, som sætter en Session-variabel, som
så checkes på alle (relevante) sider.

AJAX'en fungerer ved at noget JScript på søgesiden kalder en separat
"resultat"-side, som leverer data tilbage til søgesiden.

Men denne forespørgsel kører jo nok i sin egen separate Session -
ihvertfald giver den fejl, hvis jeg lægger mit adgangscheck ind på
"resultat"-siden.

Jeg har selvfølgelig adgangskontrol på selve søgesiden, men teoretisk
kan man jo få adgang til resultatsiden, hvis blot man kender
filnavn/placering.
Jeg kan godt komme på et par mere elelr mindre gode ideer til at
"begrænse risikoen" (checke referrer eller hashe forespørgslen), men
helt gode synes jeg ikke de er.

Er der nogen bud på, hvad "man" gør?


Mvh. Jørn

--
Jørn Andersen,
Brønshøj

 
 
Birger (08-11-2007)
Kommentar
Fra : Birger


Dato : 08-11-07 11:31

"Jørn Andersen" <jorn@jorna.dk> skrev i en meddelelse
news:nrd5j3lu04cjdf1dks8oqj6nc9s5aa3vsg@4ax.com...
> Hej,
>
> Jeg er blevet lidt inspireret af noget AJAX-snak i .clientside til at
> lave en opslags-funktion i en medlemsdatabase.
>
> Det fungerer sådan set fint nok, men hvordan styrer man adgangskontrol i
> sådan en situation?
>
> Jeg har en "almindelig" ASP-login, som sætter en Session-variabel, som
> så checkes på alle (relevante) sider.
>
> AJAX'en fungerer ved at noget JScript på søgesiden kalder en separat
> "resultat"-side, som leverer data tilbage til søgesiden.
>
> Men denne forespørgsel kører jo nok i sin egen separate Session -
> ihvertfald giver den fejl, hvis jeg lægger mit adgangscheck ind på
> "resultat"-siden.
>
> Jeg har selvfølgelig adgangskontrol på selve søgesiden, men teoretisk
> kan man jo få adgang til resultatsiden, hvis blot man kender
> filnavn/placering.
> Jeg kan godt komme på et par mere elelr mindre gode ideer til at
> "begrænse risikoen" (checke referrer eller hashe forespørgslen), men
> helt gode synes jeg ikke de er.
>
> Er der nogen bud på, hvad "man" gør?
>

Jeg bruger PHP, og kender ikke ret meget til asp.
Login system, tilsvarende, med at sætte en session variabel.

Jeg har ikke de problemer med AJAX og Sessionen.
Jeg har flere sider, der kaldes via AJAX, og skal vises på een måde, hvis
det er en logget ind bruger der beder om den, og på en anden, hvis der ikke
er logget ind.
Og det virker fint med check på Session.
Jeg kan i øvrigt se ( i Firebug i FF), at Session-id overføres i headere i
AJAX kommunikation, så umiddelbart burde asp også kunne finde ud af det, på
tilsvarende vis.

I PHP skal jeg i hvert script aktivere session, og det går galt hvis man
glemmer det (der oprettes ny session, og den kender følgelig ikke gemte
værdier).
Der er ikke noget tilsvarende i asp, du har glemt?

Ellers, kan en løsning være at overføre een eller flere parametre som giver
adgang til søgningen, sammen med søgningens parametre, og checke dem i asp.

Birger



Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408914
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste