我来自ASP.NET背景,发现整个基于角色的授权方案限制至少可以说。我已经阅读了微软新的身份模型和日内瓦框架及其基于声明的架构,但它似乎过于复杂。
总的来说,我想了解更多可能的授权架构,以找出最适合我需求的内容。
例如,如果您想要创建应用程序范围的角色,例如“管理员”,那么应用程序范围的角色似乎已经足够好了。但是,如果我有ie。项目管理应用程序,包含项目实体,每个项目都有自己的一组角色(例如项目A的“编辑”和项目B的“摄影师”)和相关的权限。
是否有关于此主题的书籍可以推荐?
答案 0 :(得分:3)
由于您来自ASP.NET背景,因此ASP.NET框架中关于安全/授权主题的最专注的书可能是:
Professional ASP.NET 3.5 Security, Membership, and Role Management with C# and VB
(或以前的版本以ASP.NET 2.0等为目标。)
还有较老的:
但是,这些书籍将简单详细说明ASP.NET成员资格模型中存在的现有身份验证和授权机制,正如您所说,它们主要基于用户/角色设置。
如果您希望专门保留在Microsoft / .NET世界中,那么值得研究一下可以由WCF等技术(Windows)使用的联合安全模型传播基金会)。这种机制允许一种相对轻量级的安全管理方法,并且可以更容易地完成您在示例中所做的事情(ProjectA:Editor / ProjectB:Photographer)。
这方面的一些链接是:
Federation (from MSDN)
Federation and Issued Tokens
patterns & practices: WCF Security Guidance
Learning WCF Book - Federated Security Section
如果您采用更通用或通用的安全性和身份验证/授权机制方法,这些方法与平台无关,那么一些好的资源/书籍将是:
Designing Security Architecture Solutions
(本书详细介绍了不同的安全概念和体系结构,不仅用于验证/授权用户,还用于code access security等概念
还有:
Enterprise Security Architecture: A Business-Driven Approach
(正如它的名字所暗示的那样,它更侧重于“业务”,主要关注SABSA (Sherwood Applied Business Security Architecture)方法论)