.NET WebAPI集中授权

时间:2013-10-22 14:16:01

标签: c# asp.net security asp.net-web-api authorization

在.NET WebAPI中,我创建了一种方法,将所有授权规则放在一个中心位置,而不是分散在整个控制器中。我很好奇为什么这种集中化不会经常发生;有没有影响/安全问题?

我目前的方法是在App_Start期间创建一个包含所有授权数据的Dictionary,然后使用DelegatingHandler来应用限制(下面的代码)。字典键是Controller和Action的元组,值是授权角色。 DelegatingHandler绑定到WebAPI的路由配置以获取调用哪个控制器,然后使用Dictionary来确定是否允许该请求。

词典: 

var authorizations = new Dictionary<Tuple<string, string>, string>();
authorizations.Add(new Tuple<string, string>("values", "get"), "public");
authorizations.Add(new Tuple<string, string>("values", "put"), "private");

DelegatingHandler: 

public class SecurityDelegateHandler : DelegatingHandler
{
    private readonly Dictionary<Tuple<string, string>, string> _authorizations;

    public SecurityDelegateHandler(Dictionary<Tuple<string, string>, string> auth)
    {
        _authorizations = auth;
    }

    protected override Task<HttpResponseMessage> SendAsync(HttpRequestMessage request, CancellationToken cancellationToken)
    {
        var config = GlobalConfiguration.Configuration;
        var controllerSelector = new DefaultHttpControllerSelector(config);
        var descriptor = controllerSelector.SelectController(request);

        string restrictions;

        if (!_authorizations.TryGetValue(
                new Tuple<string, string>(descriptor.ControllerName.ToLower(),
                request.Method.ToString().ToLower()), out restrictions))
        {
            return Task<HttpResponseMessage>.Factory.StartNew(() =>
                        request.CreateResponse(HttpStatusCode.Forbidden, 
                        "Access denied on unconfigured actions"), 
                        cancellationToken);
        }

        if (!(Roles.Provider).GetRolesForUser(
               HttpContext.Current.User.Identity.Name).Any(r => 
               restrictions.Contains(r)))
        {
            return Task<HttpResponseMessage>.Factory.StartNew(() => 
                        request.CreateResponse(HttpStatusCode.Forbidden, 
                        "Access Denied"), cancellationToken);
        }

        return base.SendAsync(request, cancellationToken);
    }
}

总之,我的问题是:

  • 以这种方式实施基于角色的授权是否有任何问题?
  • 是否有任何可以处理WebAPI集中授权的好包?我已经查看了FluentSecurity,but that doesn't appear to support WebAPI

谢谢!

1 个答案:

答案 0 :(得分:2)

你的方法很好。你应该分开关注点。这意味着将业务逻辑与非功能逻辑/需求分离(例如,日志记录,身份验证,当然还有授权)。

之所以没有更广泛地做到这一点,是因为外部化身份验证或日志记录比外部化与您的业务更相关的授权更容易。

不同的编程框架今天提供外部授权。 Microsoft拥有基于声明的授权,Java有几个框架,例如: Spring Security,SunXACML ...... PHP有Yii,Ruby有CanCan ......这些框架允许您实现基于角色的访问控制甚至基于属性的访问控制。如果您不熟悉这些条款,请查看NIST的网页:

如果你想要一个技术中立的解决方案,即你可以用于Java,.NET,PHP的东西......你可以使用可扩展的访问控制标记语言XACML。它就像SAML一样是OASIS标准(SAML专注于联合身份验证和SSO; XACML专注于细粒度授权)。您可以在OASIS网站和Wikipedia上阅读有关XACML的更多信息,我会尝试维护该页面。除了外化授权之外,XACML还定义了一种基于策略的授权方法,这种方法是一种非常可扩展的方法。

XACML有几个开源选项(JBoss,SunXACML,OpenAM ...)以及我工作的供应商Axiomatics

HTH

相关问题
最新问题