tenant2 kullanıcısı ile oturum açıp düzenleme formunu açtığınızda, Kiracı seçimi açılır menüsü görünmez, dolayısıyla sıradan bir kullanıcı ise kiracısını ön uçtan değiştiremez . Ancak Serenity ve hizmetlerinin nasıl çalıştığına dair biraz bilgisi varsa arka uca API isteği gönderebilir.
Web ile çalışırken, hem istemci hem de sunucu tarafında doğrulama işlemleri yapmadığınız sürece web uygulamalarında güvenlik açıkları oluşturmak kolaydır.
Hadi gösterelim. tenant2 kullanıcısı ile oturum açtığınızda Chrome konsolunu açın .
Bunu kopyalayıp konsola yapıştırın:
Q.serviceCall({
service: 'Administration/User/Update',
request: {
EntityId: 2,
Entity: {
UserId: 2,
TenantId: 1
}
}
});
Şimdi kullanıcı yönetimi sayfasını yenileyin, kiracı2'nin artık yönetici kullanıcıyı görebildiğini göreceksiniz !
Javascript ile Kullanıcı Güncelleme hizmetini çağırdık ve tenant2 kullanıcısı TenaNntId'yi 1 (Birincil Kiracı) olarak değiştirdik .
Önce İkinci Kiracıya (2) geri döndürelim , sonra bu güvenlik açığını düzelteceğiz:
Q.serviceCall({
service: 'Administration/User/Update',
request: {
EntityId: 2,
Entity: {
UserId: 2,
TenantId: 2
}
}
});
Serenity, alan düzeyinde izinler sağlar. Yönetim:Tenants iznine sahip kullanıcıların kiracı bilgilerini görmesine ve düzenlemesine izin vermek için UserRow.cs'yi düzenleyin .
[LookupEditor(typeof(TenantRow))]
[ReadPermission(PermissionKeys.Tenants)]
public int? TenantId
{
get => Fields.TenantId[this];
set => Fields.TenantId[this] = value;
}
Artık kullanıcılar için kiracı alanını yalnızca yönetici görebilir ve güncelleyebilir .
Ayrıca ModifyPermission'ı bir kullanıcının okuma izni yokmuş gibi, varsayılan olarak yazma izni yokmuş gibi ayarlamamız gerekmedi .
Projenizi oluşturun ve ardından bunu konsola tekrar yazmayı deneyin:
Q.serviceCall({
service: 'Administration/User/Update',
request: {
EntityId: 2,
Entity: {
UserId: 2,
TenantId: 1
}
}
});
Şimdi bu hatayı alacaksınız:
Tenant field is read only!