在.NET WebAPI中,我創建了一種將所有授權規則放在中央位置的方法,而不是遍佈控制器。我很好奇爲什麼這種集權不經常做得更多;是否有影響/安全問題?.NET WebAPI集中授權
我目前的做法是在App_Start期間創建一個字典,其中包含我所有的授權數據,然後使用DelegatingHandler應用限制(下面的代碼)。字典密鑰是控制器和操作的元組,並且該值是授權角色。 DelegatingHandler綁定到WebAPI的路由配置中以獲取調用哪個控制器,然後使用Dictionary來確定請求是否被允許。
詞典:
var authorizations = new Dictionary<Tuple<string, string>, string>();
authorizations.Add(new Tuple<string, string>("values", "get"), "public");
authorizations.Add(new Tuple<string, string>("values", "put"), "private");
DelegatingHandler:
public class SecurityDelegateHandler : DelegatingHandler
{
private readonly Dictionary<Tuple<string, string>, string> _authorizations;
public SecurityDelegateHandler(Dictionary<Tuple<string, string>, string> auth)
{
_authorizations = auth;
}
protected override Task<HttpResponseMessage> SendAsync(HttpRequestMessage request, CancellationToken cancellationToken)
{
var config = GlobalConfiguration.Configuration;
var controllerSelector = new DefaultHttpControllerSelector(config);
var descriptor = controllerSelector.SelectController(request);
string restrictions;
if (!_authorizations.TryGetValue(
new Tuple<string, string>(descriptor.ControllerName.ToLower(),
request.Method.ToString().ToLower()), out restrictions))
{
return Task<HttpResponseMessage>.Factory.StartNew(() =>
request.CreateResponse(HttpStatusCode.Forbidden,
"Access denied on unconfigured actions"),
cancellationToken);
}
if (!(Roles.Provider).GetRolesForUser(
HttpContext.Current.User.Identity.Name).Any(r =>
restrictions.Contains(r)))
{
return Task<HttpResponseMessage>.Factory.StartNew(() =>
request.CreateResponse(HttpStatusCode.Forbidden,
"Access Denied"), cancellationToken);
}
return base.SendAsync(request, cancellationToken);
}
}
總之,我的問題是:
- 是否有與本實施基於角色授權任何問題辦法?
- 是否有任何處理WebAPI集中授權的優秀軟件包?我研究過FluentSecurity,but that doesn't appear to support WebAPI。
謝謝!
如何使自定義的AuthorizeFilter註冊爲全局? –
使用全局過濾器可以工作,並且不需要DelegatingHandler。仍然留下使用集中授權是否存在問題的問題。 –
如果它適合您的需求,我不會看到任何問題。如果您對不同的控制器或操作有不同的規則,則多個授權過濾器很有用,但如果它始終是相同的過程,則最好集中它。 –