我在验证用户时使用.net声明主体。在我们的系统中,用户具有多个权限(最多可以为70个)。
现在,用户不是在每个请求上查询数据库,而是认为将权限存储为声明是好的。我试图将每个权限存储为单独的声明,但即使获得10个权限也会大大增加令牌的大小。
因此,我没有在1个权限中添加1个权限,我想知道如果我为1个声明添加了所有权限,它是否会有所不同,而且确实如此。它保持令牌的大小很小,但我拥有我需要的权限。
现在要执行此操作,我必须将我的所有权限从数组转换为JSON字符串,然后将它们保存为我的声明。为了获得声明,我可以将字符串反序列化为一个数组,我根本不必查询数据库。
这样做可以,或者这是非常糟糕的做法?我是在制作一颗滴答作响的定时炸弹吗?这样做会很快爆炸吗?
此处的示例代码
var identity = new ClaimsIdentity(context.Options.AuthenticationType);
identity.AddClaim(new Claim(ClaimTypes.Name, context.UserName));
// get user permissions
var permissions = await _permissionService.GetAllAsync(user);
// create list of all permissions
List<object> claimPermissions = new List<object>();
foreach (var item in permissions)
{
claimPermissions.Add(new
{
Action = item.Action,
Type = item.Type
});
}
// convert list to json
var json = Newtonsoft.Json.JsonConvert.SerializeObject(claimPermissions);
// add claim
identity.AddClaim(new Claim("Permissions", json));
答案 0 :(得分:-1)
该类中有大多数常用ClaimType的标准列表 System.Security.Claims.ClaimTypes和我建议你将它们作为单独的声明添加。之后,所有剩余的声明都可以添加为UserData。我不确定您的应用为何拥有最多70个权限?在设计基础架构时,最好使用最佳实践,即使用基于角色的授权。我让事情变得更容易。并记住这些是经过试验和测试的方法。 Windows Azure Active Directory具有相同的设计,但它可以处理任何身份验证和授权方案。
如果您需要有关如何使用Json Web Tokens实现此类身份验证机制的更多信息,请参阅here上有关此主题的文章。
鉴于Jwt,您可以通过以下方式检查用户是否拥有权限。
private static ClaimsPrincipal ValidateToken(string token, string secret, bool checkExpiration)
{
var jsonSerializer = new JavaScriptSerializer();
var payloadJson = JsonWebToken.Decode(token, secret);
var payloadData = jsonSerializer.Deserialize<Dictionary<string, object>>(payloadJson);
object exp;
if (payloadData != null && (checkExpiration && payloadData.TryGetValue("exp", out exp)))
{
var validTo = FromUnixTime(long.Parse(exp.ToString()));
if (DateTime.Compare(validTo, DateTime.UtcNow) <= 0)
{
throw new Exception(
string.Format("Token is expired. Expiration: '{0}'. Current: '{1}'", validTo, DateTime.UtcNow));
}
}
var subject = new ClaimsIdentity("Federation", ClaimTypes.Name, ClaimTypes.Role);
var claims = new List<Claim>();
if (payloadData != null)
foreach (var pair in payloadData)
{
var claimType = pair.Key;
var source = pair.Value as ArrayList;
if (source != null)
{
claims.AddRange(from object item in source
select new Claim(claimType, item.ToString(), ClaimValueTypes.String));
continue;
}
switch (pair.Key)
{
case "name":
claims.Add(new Claim(ClaimTypes.Name, pair.Value.ToString(), ClaimValueTypes.String));
break;
case "surname":
claims.Add(new Claim(ClaimTypes.Surname, pair.Value.ToString(), ClaimValueTypes.String));
break;
case "email":
claims.Add(new Claim(ClaimTypes.Email, pair.Value.ToString(), ClaimValueTypes.Email));
break;
case "role":
claims.Add(new Claim(ClaimTypes.Role, pair.Value.ToString(), ClaimValueTypes.String));
break;
case "userId":
claims.Add(new Claim(ClaimTypes.UserData, pair.Value.ToString(), ClaimValueTypes.Integer));
break;
default:
claims.Add(new Claim(claimType, pair.Value.ToString(), ClaimValueTypes.String));
break;
}
}
subject.AddClaims(claims);
return new ClaimsPrincipal(subject);
}
我希望这会有所帮助
由于
斯图尔特