Как добавить новую роль asp.net?

Question

[DD-var]

есть у меня контроллер AddRoles. и таблица с ролями от Identity. как добавить новые роли в эту таблицу?

Answer 1

[Владимир Коротенко]

По хорошему в seed методе прописываете все роли, дефолтного админа и его пароль и кучу других параметров. Другой вариант создать метод для проверки роли при старте приложения. Ну или тупо вставить значения в бд. Выбирайте любой

Comments

[DD-var]

можно пример?

[Иван Шумов]

Я аж поперхнулся кофе. Пароль в коде. Я такого-то видел уже много лет

[Владимир Коротенко]

Иван Шумов, что вас смущает? Рекомендованная практика. Читаешь данные из стораджа и записываешь в базу

[Владимир Коротенко]

DD-var, www.binaryintellect.net/articles/5e180dfa-4438-45d...

Просто погуглите net core identity seed roles

[Владимир Коротенко]

Иван Шумов, а почему поперхнулись? Пароль в коде, код не даёт уйти со страницы до смены пароля. Вполне себе практика. Это же не роутеры с паролем admin/admin или вообще пустым

[Иван Шумов]

Владимир Коротенко, в том что утечка кода сразу открывает нереальные возможности. От этого надо защищаться. OWASP с вами не согласен

[DD-var]

не понимаю как добавлять новые роли и тд. по метаниту пытаюсь сделать ошибки сыпятся (https://metanit.com/sharp/mvc5/12.4.php)

[Владимир Коротенко]

Иван Шумов, они там параноики, впрочем вы наверно читали рассказ про солонку и хакера. Так что это тоже один из вариантов

[Иван Шумов]

Владимир Коротенко, они не параноики, они большие молодцы. Их основная задача - собирать статистику по проблемам. Хранение паролей в коде - очень распространенная и опасная проблема. Если вы так делаете то Senior называться права просто нет.

[Владимир Коротенко]

Иван Шумов, мне даже интересно, вот девопс пихает пароли во все контейнеры, а я значит не могу, вы мне эту деменцию объясните?

[Иван Шумов]

Владимир Коротенко, девопсы передают в контейнеры Sensitive Data из шифрованного хранилища и доступа к контейнеру физически ни у кого нет. А вот кодовая база хранится в ряде мест, начиная от нескольких машин разработчиков и заканчивая репозиториями. Доступ к таким местам очень слабо защищен.

[Владимир Коротенко]

Иван Шумов, И чем это различается?

По сути вы вызываете
GiveMePasswordBecauseIBelieveInTheOfficeName(unencrypedData: true);

Типа надеждой что взрослые дяди сделали все круто и вы типа защищены?
А все вокруг могут забивать на все и пересылать пароли даже в чатиках телеграма?

[Владимир Коротенко]

DD-var, Все же лучше ошибки привести.
https://metanit.com/sharp/mvc5/12.4.php
Кстати собственно то что я и говорил. Просто добавляете роли

[Иван Шумов]

Владимир Коротенко, не могут. Безопасность это коллективная ответственность, а не узкого круга лиц. Ну а если нет понимания чем это различается то мне ещё раз очень жаль что есть люди, которые называют себя Senior и при этом не знают таких основ безопасности

[Владимир Коротенко]

Иван Шумов, Безопасность это прежде всего регламент. А не ваши представления проданные вам маркетологами.
И переход на личности, просто свидетельство того что вы "верите" им, не проверяя и надеетесь на них.

Хотя в любой EULA прописано что компания не несет ответственности за ущерб или за вашу веру или заблуждения.

Вот так.

[Иван Шумов]

Владимир Коротенко, компания таки несет ответственность, а также репетиционные потери и много еще чего) Регламент это важно, и те вещи о которых я говорю - также являются частью регламента, и не маловажной

[Владимир Коротенко]

Иван Шумов, Так в чем же проблема считать пароль из ENV или secret.json ?

[Иван Шумов]

Владимир Коротенко, пользовательские пароли не должны находиться на ноде. Во-первых рассчитывать на жизнеспособность отдельной ноды это дикость, во-вторых пароль надо будет заменять, в-третьих при физическом проникновении на сервер пользователи должны оставаться в безопасности. Я могу продолжать список

[Владимир Коротенко]

Иван Шумов, Где тут разговор про ноды, про балансировку, про все остальное? Мы по моему начали флудить.
Автору ответили. Если хотите меня поругать, напишите статью с вашим видением где хранить пароли, я не менее ехидные правки вставлю, посмеемся вместе над битвой якадзум в комментах