c# - .NET WebAPI集中授权

Question

在 .NET WebAPI 中，我创建了一种将所有授权规则置于中央位置的方法，而不是分散在各个 Controller 中。我很好奇为什么这种集中化没有更频繁地进行；是否有影响/安全问题？

我当前的方法是在 App_Start 期间创建一个字典，其中包含我的所有授权数据，然后使用 DelegatingHandler 来应用限制(代码如下)。字典的键是Controller和Action的元组，值是授权的角色。 DelegatingHandler 与 WebAPI 的路由配置绑定(bind)以获取调用哪个 Controller ，然后使用字典来确定是否允许该请求。

字典:

var authorizations = new Dictionary<Tuple<string, string>, string>();
authorizations.Add(new Tuple<string, string>("values", "get"), "public");
authorizations.Add(new Tuple<string, string>("values", "put"), "private");

委托(delegate)处理程序:

public class SecurityDelegateHandler : DelegatingHandler
{
    private readonly Dictionary<Tuple<string, string>, string> _authorizations;

    public SecurityDelegateHandler(Dictionary<Tuple<string, string>, string> auth)
    {
        _authorizations = auth;
    }

    protected override Task<HttpResponseMessage> SendAsync(HttpRequestMessage request, CancellationToken cancellationToken)
    {
        var config = GlobalConfiguration.Configuration;
        var controllerSelector = new DefaultHttpControllerSelector(config);
        var descriptor = controllerSelector.SelectController(request);

        string restrictions;

        if (!_authorizations.TryGetValue(
                new Tuple<string, string>(descriptor.ControllerName.ToLower(),
                request.Method.ToString().ToLower()), out restrictions))
        {
            return Task<HttpResponseMessage>.Factory.StartNew(() =>
                        request.CreateResponse(HttpStatusCode.Forbidden, 
                        "Access denied on unconfigured actions"), 
                        cancellationToken);
        }

        if (!(Roles.Provider).GetRolesForUser(
               HttpContext.Current.User.Identity.Name).Any(r => 
               restrictions.Contains(r)))
        {
            return Task<HttpResponseMessage>.Factory.StartNew(() => 
                        request.CreateResponse(HttpStatusCode.Forbidden, 
                        "Access Denied"), cancellationToken);
        }

        return base.SendAsync(request, cancellationToken);
    }
}

总而言之，我的问题是:

• 以这种方式实现基于角色的授权是否存在任何问题？
• 是否有任何好的软件包可以处理 WebAPI 的集中授权？我研究过 FluentSecurity，but that doesn't appear to support WebAPI .

谢谢!

Answer 1

你的方法很好。你应该分开关注点。这意味着将业务逻辑与非功能逻辑/需求(例如日志记录、身份验证，当然还有授权)分开。

之所以没有更广泛地这样做，是因为外部化身份验证或日志记录比外部化与您的业务更相关的授权要容易得多。

当今不同的编程框架提供外部化授权。 Microsoft 有基于声明的授权，Java 有多个框架，例如Spring Security、SunXACML...PHP 有 Yii、Ruby 有 CanCan...这些框架可以让您实现基于角色的访问控制，甚至基于属性的访问控制。如果您不熟悉这些术语，请查看 NIST 的网页:

• NIST RBAC
• NIST ABAC

如果您想要一个技术中立的解决方案，即可用于 Java、.NET、PHP...的解决方案，您可以使用 XACML(可扩展访问控制标记语言)。它是一个 OASIS 标准，就像 SAML 一样(SAML 专注于联合 ID 和 SSO；XACML 专注于细粒度授权)。您可以在 OASIS 上阅读有关 XACML 的更多信息。网站和 Wikipedia我尝试维护该页面的地方。除了外部化授权之外，XACML 还定义了一种基于策略的授权方法，这是一种非常可扩展的方法。

XACML 有多种开源选项(JBoss、SunXACML、OpenAM...)以及供应商，例如我工作的供应商 Axiomatics .

HTH