c# - .NET WebAPI 集中授权

Question

在 .NET WebAPI 中，我创建了一种将所有授权规则放在一个中央位置的方法，而不是分散在各个 Controller 中。我很好奇为什么这种集中化没有更频繁地进行；是否存在影响/安全问题？

我目前的方法是在 App_Start 期间创建一个字典，其中包含我所有的授权数据，然后使用 DelegatingHandler 来应用限制(下面的代码)。字典的key是Controller和Action的一个Tuple，value是授权的角色。 DelegatingHandler 绑定(bind)到 WebAPI 的路由配置以获取调用哪个 Controller ，然后使用 Dictionary 确定是否允许请求。

字典:

var authorizations = new Dictionary<Tuple<string, string>, string>();
authorizations.Add(new Tuple<string, string>("values", "get"), "public");
authorizations.Add(new Tuple<string, string>("values", "put"), "private");

委托(delegate)处理程序:

public class SecurityDelegateHandler : DelegatingHandler
{
    private readonly Dictionary<Tuple<string, string>, string> _authorizations;

    public SecurityDelegateHandler(Dictionary<Tuple<string, string>, string> auth)
    {
        _authorizations = auth;
    }

    protected override Task<HttpResponseMessage> SendAsync(HttpRequestMessage request, CancellationToken cancellationToken)
    {
        var config = GlobalConfiguration.Configuration;
        var controllerSelector = new DefaultHttpControllerSelector(config);
        var descriptor = controllerSelector.SelectController(request);

        string restrictions;

        if (!_authorizations.TryGetValue(
                new Tuple<string, string>(descriptor.ControllerName.ToLower(),
                request.Method.ToString().ToLower()), out restrictions))
        {
            return Task<HttpResponseMessage>.Factory.StartNew(() =>
                        request.CreateResponse(HttpStatusCode.Forbidden, 
                        "Access denied on unconfigured actions"), 
                        cancellationToken);
        }

        if (!(Roles.Provider).GetRolesForUser(
               HttpContext.Current.User.Identity.Name).Any(r => 
               restrictions.Contains(r)))
        {
            return Task<HttpResponseMessage>.Factory.StartNew(() => 
                        request.CreateResponse(HttpStatusCode.Forbidden, 
                        "Access Denied"), cancellationToken);
        }

        return base.SendAsync(request, cancellationToken);
    }
}

总而言之，我的问题是:

• 以这种方式实现基于角色的授权有什么问题吗？
• 是否有任何好的软件包可以处理 WebAPI 的集中授权？我调查了 FluentSecurity，but that doesn't appear to support WebAPI .

谢谢!

Answer 1

您的方法很好。你应该分开关注点。这意味着将业务逻辑与非功能逻辑/需求(例如日志记录、身份验证，当然还有授权)分开。

之所以没有更广泛地这样做，是因为将身份验证或日志记录外部化比将与您的业务更相关的授权外部化要容易得多。

如今，不同的编程框架提供外部化授权。 Microsoft 有基于声明的授权，Java 有几个框架，例如Spring Security、SunXACML……PHP有Yii，Ruby有CanCan……这些框架让你实现基于角色的访问控制，甚至是基于属性的访问控制。如果您不熟悉这些术语，请查看 NIST 的网页:

• 美国国家标准与技术研究院 RBAC
• 美国国家标准与技术研究院 ABAC

如果您想要一个技术中立的解决方案，即可以用于 Java、.NET、PHP 的解决方案……您可以使用 XACML，即可扩展访问控制标记语言。它是一个 OASIS 标准，就像 SAML 一样(SAML 专注于联合 ID 和 SSO；XACML 专注于细粒度授权)。您可以在 OASIS 上阅读有关 XACML 的更多信息网站和 Wikipedia我尝试维护页面的地方。除了外部化授权外，XACML 还定义了一种基于策略的授权方法，这是一种非常可扩展的方法。

XACML 和供应商有多种开源选项(JBoss、SunXACML、OpenAM...)，例如我供职的供应商，Axiomatics .

HTH