ASP.NET MVC3 Json Resultを返すアクションをより安全にする方法

Question

サブスクリプションidとそのコンテンツを購読しているユーザーに基づいてjson結果を再実行するアクションがあります。

サブスクリプション1を購読しているユーザーは、サブスクリプション1のみのデータを取得できます。ユーザーがサブスクリプション2を購読すると、そのデータを取得できます。彼が1と2を購読すれば、彼は関連コンテンツ1と2を得ることができます。

このように、承認されていないリクエストや未登録のコンテンツへのアクセス権を持たないユーザーからのコントローラの保護は問題ですか？私は何ができるか

すべての権利：

1）私はそれがコントローラに不正な要求を防ぐことができます、[承認]属性を使用して私のコントローラを固定することができます。 2）リクエストごとに私はユーザー名を確認し、そのユーザーは実際に要求されたコンテンツを取得することができます。

私はすべての後に安全ですか？

上記の2つの手順を実行した後で、承認されていないユーザーがコンテンツを購読するのが難しく、許可されていないユーザーが盗むことがどれほど難しいでしょうか？コンテンツ/ウェブサイトをより安全にするために何かを考えなければならないのでしょうか？

Answer 1

Authorize属性および/またはIsInRoleメソッドを使用する場合は、認可の立場からは問題ないはずです。あなたは、あなたの認証も確実に確保する必要があります。

例： OpenIDプロバイダと信頼関係者を使用した認証は、認証を満たします。私はこれにDotNetOpenAuthを使用しています...

認証はカスタムメイドのグループ化システムのようなものによって提供されます。私は基本的なデータベース関係を使って、openIDが提供するアイデンティティとマッチさせました。

これらに加えて、MITM攻撃とスニッフィングからパイプを保護する必要があります。したがって、クレームベースのセキュリティと、タイムスタンプによるMITM攻撃を回避するために使用されるいくつかのトリックを見ることができます。

もちろん、httpsの上に置いてください。

ちょうど私の2セントです。少し助けてくれることを願っています。セキュリティは非常に幅広く深い話題なので、私はどこを探すべきか提案しています。私のやり方は、確かに最善ではありません。