.NET WebAPI集中授权
在.NET WebAPI中,我创建了一种方法,将所有授权规则放在一个中心位置,而不是分散在整个控制器中。 我很好奇为什么这种集中化不会更频繁地进行; 有没有影响/安全问题?
我目前的方法是在App_Start期间创建一个包含所有授权数据的Dictionary,然后使用DelegatingHandler来应用限制(下面的代码)。 字典键是Controller和Action的元组,值是授权角色。 DelegatingHandler绑定到WebAPI的路由配置以获取调用哪个控制器,然后使用Dictionary来确定是否允许该请求。
字典:
var authorizations = new Dictionary<Tuple, string>(); authorizations.Add(new Tuple("values", "get"), "public"); authorizations.Add(new Tuple("values", "put"), "private"); DelegatingHandler:
public class SecurityDelegateHandler : DelegatingHandler { private readonly Dictionary<Tuple, string> _authorizations; public SecurityDelegateHandler(Dictionary<Tuple, string> auth) { _authorizations = auth; } protected override Task SendAsync(HttpRequestMessage request, CancellationToken cancellationToken) { var config = GlobalConfiguration.Configuration; var controllerSelector = new DefaultHttpControllerSelector(config); var descriptor = controllerSelector.SelectController(request); string restrictions; if (!_authorizations.TryGetValue( new Tuple(descriptor.ControllerName.ToLower(), request.Method.ToString().ToLower()), out restrictions)) { return Task.Factory.StartNew(() => request.CreateResponse(HttpStatusCode.Forbidden, "Access denied on unconfigured actions"), cancellationToken); } if (!(Roles.Provider).GetRolesForUser( HttpContext.Current.User.Identity.Name).Any(r => restrictions.Contains(r))) { return Task.Factory.StartNew(() => request.CreateResponse(HttpStatusCode.Forbidden, "Access Denied"), cancellationToken); } return base.SendAsync(request, cancellationToken); } }
总之,我的问题是:
谢谢!
你的方法很好。 你应该分开关注点。 这意味着将业务逻辑与非function逻辑/需求分离(例如,日志记录,身份validation,当然还有授权)。
之所以没有做得更广泛,是因为外部化身份validation或日志记录比外部化与您的业务更相关的授权更容易。
不同的编程框架今天提供外部化授权。 Microsoft拥有基于声明的授权,Java有几个框架,例如Spring Security,SunXACML …… PHP有Yii,Ruby有CanCan ……这些框架允许您实现基于角色的访问控制甚至基于属性的访问控制。 如果您不熟悉这些条款,请查看NIST的网页:
如果你想要一个技术中立的解决方案,即你可以用于Java,.NET,PHP的东西……你可以使用可扩展的访问控制标记语言XACML。 它就像SAML一样是OASIS标准(SAML专注于联合身份validation和SSO; XACML专注于细粒度授权)。 您可以在OASIS网站和维基百科上阅读有关XACML的更多信息,我会尝试维护该页面。 除了外化授权之外,XACML还定义了一种基于策略的授权方法,这种方法是一种非常可扩展的方法。
有几个用于XACML的开源选项(JBoss,SunXACML,OpenAM …)以及我工作的供应商Axiomatics等供应商。
HTH
上述就是C#学习教程:.NET WebAPI集中授权分享的全部内容,如果对大家有所用处且需要了解更多关于C#学习教程,希望大家多多关注—计算机技术网(www.ctvol.com)!
本文来自网络收集,不代表计算机技术网立场,如涉及侵权请联系管理员删除。
ctvol管理联系方式QQ:251552304
本文章地址:https://www.ctvol.com/cdevelopment/960064.html