.NET WebAPI集中授权
本文关键字:授权 集中 WebAPI NET | 更新日期: 2023-09-27 18:36:28
在.NET WebAPI中,我创建了一种方法,将所有授权规则都放在一个中心位置,而不是分散在控制器中。我很好奇为什么这种集中化没有更频繁地进行;是否存在影响/安全问题?
我目前的方法是在App_Start期间创建一个字典,其中包含我的所有授权数据,然后使用DelegatingHandler应用限制(下面的代码(。字典键是Controller和Action的元组,值是授权的角色。DelegatingHandler绑定到WebAPI的路由配置以获取调用哪个控制器,然后使用Dictionary来确定是否允许请求。
字典:
var authorizations = new Dictionary<Tuple<string, string>, string>();
authorizations.Add(new Tuple<string, string>("values", "get"), "public");
authorizations.Add(new Tuple<string, string>("values", "put"), "private");
委派处理程序:
public class SecurityDelegateHandler : DelegatingHandler
{
private readonly Dictionary<Tuple<string, string>, string> _authorizations;
public SecurityDelegateHandler(Dictionary<Tuple<string, string>, string> auth)
{
_authorizations = auth;
}
protected override Task<HttpResponseMessage> SendAsync(HttpRequestMessage request, CancellationToken cancellationToken)
{
var config = GlobalConfiguration.Configuration;
var controllerSelector = new DefaultHttpControllerSelector(config);
var descriptor = controllerSelector.SelectController(request);
string restrictions;
if (!_authorizations.TryGetValue(
new Tuple<string, string>(descriptor.ControllerName.ToLower(),
request.Method.ToString().ToLower()), out restrictions))
{
return Task<HttpResponseMessage>.Factory.StartNew(() =>
request.CreateResponse(HttpStatusCode.Forbidden,
"Access denied on unconfigured actions"),
cancellationToken);
}
if (!(Roles.Provider).GetRolesForUser(
HttpContext.Current.User.Identity.Name).Any(r =>
restrictions.Contains(r)))
{
return Task<HttpResponseMessage>.Factory.StartNew(() =>
request.CreateResponse(HttpStatusCode.Forbidden,
"Access Denied"), cancellationToken);
}
return base.SendAsync(request, cancellationToken);
}
}
总之,我的问题是:
- 以这种方式实现基于角色的授权有什么问题吗
- 有什么好的软件包可以处理WebAPI的集中授权吗?我研究过FluentSecurity,但它似乎不支持WebAPI
谢谢!
您的方法很好。你应该把关注点分开。这意味着将业务逻辑与非功能逻辑/需求(例如,日志记录、身份验证,当然还有授权(分离。
之所以没有更广泛地做到这一点,是因为外部化身份验证或日志记录比外部化与您的业务更相关的授权要容易得多。
如今,不同的编程框架提供了外部化授权。微软有基于声明的授权,Java有几个框架,例如Spring Security、SunXACML。。。PHP有Yii,Ruby有CanCan。。。这些框架允许您实现基于角色的访问控制,甚至基于属性的访问控制。如果你不熟悉这些术语,请查看NIST的网页:
- NIST RBAC
- NIST算盘
如果你想要一个技术中立的解决方案,即可以用于Java、.NET、PHP。。。您可以使用XACML,即可扩展访问控制标记语言。它是一个OASIS标准,就像SAML一样(SAML专注于联合id和SSO;XACML专注于细粒度授权(。你可以在OASIS网站和维基百科上阅读更多关于XACML的内容,我在维基百科上试图维护这个页面。除了外部化授权之外,XACML还定义了一种基于策略的授权方法,这是一种非常可扩展的方法。
XACML有几个开源选项(JBoss、SunXACML、OpenAM…(,还有一些供应商,比如我工作的Axiomatics。
HTH