.NET WebAPI集中授权
在.NET WebAPI中,我创建了一种方法,将所有授权规则放在一个中心位置,而不是分散在整个控制器中。 我很好奇为什么这种集中化不会更频繁地进行; 有没有影响/安全问题?
我目前的方法是在App_Start期间创建一个包含所有授权数据的Dictionary,然后使用DelegatingHandler来应用限制(下面的代码)。 字典键是Controller和Action的元组,值是授权角色。 DelegatingHandler绑定到WebAPI的路由配置以获取调用哪个控制器,然后使用Dictionary来确定是否允许该请求。
字典:
var authorizations = new Dictionary<Tuple, string>(); authorizations.Add(new Tuple("values", "get"), "public"); authorizations.Add(new Tuple("values", "put"), "private"); DelegatingHandler:
public class SecurityDelegateHandler : DelegatingHandler { private readonly Dictionary<Tuple, string> _authorizations; public SecurityDelegateHandler(Dictionary<Tuple, string> auth) { _authorizations = auth; } protected override Task SendAsync(HttpRequestMessage request, CancellationToken cancellationToken) { var config = GlobalConfiguration.Configuration; var controllerSelector = new DefaultHttpControllerSelector(config); var descriptor = controllerSelector.SelectController(request); string restrictions; if (!_authorizations.TryGetValue( new Tuple(descriptor.ControllerName.ToLower(), request.Method.ToString().ToLower()), out restrictions)) { return Task.Factory.StartNew(() => request.CreateResponse(HttpStatusCode.Forbidden, "Access denied on unconfigured actions"), cancellationToken); } if (!(Roles.Provider).GetRolesForUser( HttpContext.Current.User.Identity.Name).Any(r => restrictions.Contains(r))) { return Task.Factory.StartNew(() => request.CreateResponse(HttpStatusCode.Forbidden, "Access Denied"), cancellationToken); } return base.SendAsync(request, cancellationToken); } }
总之,我的问题是:
- 以这种方式实施基于角色的授权是否有任何问题?
- 是否有任何好的软件包可以处理WebAPI的集中授权? 我已经研究过FluentSecurity, 但这似乎不支持WebAPI 。
谢谢!
你的方法很好。 你应该分开关注点。 这意味着将业务逻辑与非function逻辑/需求分离(例如,日志记录,身份validation,当然还有授权)。
之所以没有做得更广泛,是因为外部化身份validation或日志记录比外部化与您的业务更相关的授权更容易。
不同的编程框架今天提供外部化授权。 Microsoft拥有基于声明的授权,Java有几个框架,例如Spring Security,SunXACML …… PHP有Yii,Ruby有CanCan ……这些框架允许您实现基于角色的访问控制甚至基于属性的访问控制。 如果您不熟悉这些条款,请查看NIST的网页:
- NIST RBAC
- NIST ABAC
如果你想要一个技术中立的解决方案,即你可以用于Java,.NET,PHP的东西……你可以使用可扩展的访问控制标记语言XACML。 它就像SAML一样是OASIS标准(SAML专注于联合身份validation和SSO; XACML专注于细粒度授权)。 您可以在OASIS网站和维基百科上阅读有关XACML的更多信息,我会尝试维护该页面。 除了外化授权之外,XACML还定义了一种基于策略的授权方法,这种方法是一种非常可扩展的方法。
有几个用于XACML的开源选项(JBoss,SunXACML,OpenAM …)以及我工作的供应商Axiomatics等供应商。
HTH