c# - 是否可以在运行时创建的对象上使用AzMan进行基于角色的授权？

当然可以使用AzMan。我用这种形式的资源和基于角色的安全性实现了几个应用程序。 AzMan实际上非常灵活，我还实现了资源层次结构（想想Windows文件系统安全性），自定义用户和组以及整个层次结构中角色的完全继承，以及拒绝任何级别操作的能力。为此，您需要了解AzMan Scopes。

AzMan Scopes允许您为特定资源创建单独的角色/操作集。这个资源可以是你选择的任何东西，它只是AzMan的字符串标识符。这些角色/操作是任何应用程序级别分配角色的补充。

我之前实现它的方法是使用对象的id作为范围名称。理想情况下，为了简单起见，这应该是一个GUID（尽管它确实使MMC应用程序非常混乱），但同样可以使用“type-id”格式，即“CustomerAlert-1”（在MMC应用程序中非常友好）。在azman中执行AccessCheck时，将作用域名称传递给AccessCheck（目前只需要一个作用域，即使AccessCheck定义允许使用数组）。

我将通过一个如何做到这一点的例子（对于任何其他人都在努力）......

创建诸如的操作 CustomerAlertView， CustomerAlertEdit， CustomerAlertDelete at 应用水平。
创建角色名为CustomerAlertOwner的定义在应用程序级别。
全部添加对CustomerOwner的操作角色。
在您的应用中，创建一个范围称为“CustomerAlert-1”。
创建一个角色分配称为“所有者” 范围。
添加CustomerAlertOwner 角色定义到“所有者”角色分配。
向此所有者角色添加客户/用户“戴夫”。
现在你做一个访问检查说简单地说就是DeleteCustomerAlert（）传递的id CustomerAlertDelete操作和你的对象的类型/ id 想删除作为范围，即 “CustomerAlert-1”

对于基于对象属性的访问检查（即锁定某些属性的读/写），我可以想到两种方法。首先是在对象范围内为每个属性和访问类型分配操作，即PropertyNameGet， PropertyNameSet，PropertyAddressAdd。您可以通过在应用程序级别创建操作并使用任务/角色对常用权限集进行分组来简化此操作。另一种方法是使用每个属性的范围（CustomerAlert-1-Name），但这样做会很麻烦并且效率不高，因为在访问给定对象时需要单独加载多个范围。

您应该记住，您无法在AzMan中明确拒绝操作，您只是不在应用程序/范围中为用户分配角色。这意味着某些类型的资源层次结构（组/用户）等可能更难以实现。

如果您需要任何有关AzMan的进一步帮助，请随时提问..我已经涵盖了大多数情况。

Azman支持基于角色的安全性，但它仅基于角色 - 而不是基于ACL。如果某个特定用户已登录，则他们具有基于他们的特定权限，但这些权限只是静态值 - 可以将它们应用于给定类型的所有对象，但不会根据特定属性的具体属性而有所不同。那种类型的实例。

是否可以在运行时创建的对象上使用AzMan进行基于角色的授权？

2 个答案: