Question

我正在用2011 Beta 视觉工作室进行一个新的 asp.net mvc4 项目, 并试图让我的头脑围绕整个安全事项。它是一个内部内联网应用程序, 最初将使用一个符号, 所以用户不会( 尚未) 被提示到 Windows ID/ password 。公司有用于存储不同应用程序角色的定制应用程序, 并且可以通过存储程序电话获取。它将使用用户的日志 ID, 并返回包含某些角色的收藏, 例如“ MyApp. Data ” 、 “ MyApp. User ” 、 “ MyApp. Admin ” 。因此, 这指的是什么 - 这是定制会员服务商、自定义角色提供商或其他东西?

我读过授权、认证、成员资格、角色等的所有内容和内容,目前看不到树木的木柴。我读过,现有的ASP.NET安全物品已经经过试验和测试,除非有非常复杂的要求,否则内部的物品就足够了,因此我很乐意使用已经存在的物品。

如果用户已经在网络中签名, 那么这意味着他们会被认证 - 正确吗? 如果是的话, 我只需要执行授权。是否有必要用授权属性来给每个主计长或行动安装装饰? 如果是的话, 如果我从自定义角色存储应用程序中检索到角色存储功能, “ ABC” 部分会如何设置?

我读了几篇文章和博客文章, 包括Jon Galloway的这篇文章,

强制认证和授权

问这么多问题...如果有人知道高层次的好描述这一切是如何挂在一起......然后我全耳听:

Answer 1

Ok in the no answer in an answer of a high dispect of how all this stangs together I thought I thought I d script down my founds so far far farly: 笔记本写下我到现在为止的研究结果: 笔记本: 笔记本:

公司使用主动目录存储用户日志细节, 因此用于 Assession 我不需要一个自定义的 Assession 提供商。一旦用户登录到公司网络, 他们就会被认证。添加一个全球授权过滤器可以确保访问系统的任何用户都需要认证。最新消息来自 Rick Anderson 在 msdn 上的 Rick Anderson :

因此,在全球.asax中,我要补充:

public static void RegisterGlobalFilters(GlobalFilterCollection filters)
{
    filters.Add(new HandleErrorAttribute());
    filters.Add(new System.Web.Mvc.AuthorizeAttribute()); //new
}

一旦用户被认证后,我便需要处理授权事宜。公司现有全球数据存储库, 用于我无法更新访问权限的角色, 只有阅读访问权限, 这样我就可以通过存储的 proc 调用检索给用户的角色。帮助台在提出请求后创建角色需要几天到几周的时间, 因此, 为此, 最初将创建2个标准角色, 用户和管理员, 以后的角色将存储在应用程序数据库中。

除了这2个标准角色之外,还需要有超级用户等两个标准的角色。这些角色将拥有不同的权利,取决于业务规则等。这些角色将需存储在我们的应用程序数据库中。因此,对于这个假设,我需要创建一个自定义角色提供商, 在我的应用程序数据库中添加适当的 asp.net 角色表, 并插入到 Web. config 中。这里有一个 ms 页面, 题为“ 管理授权使用角色”, 我从中选择 :

http://msdn.microsoft.com/en-us/library/9ab2fxh0.aspx>

从我所读到的,到目前为止,我唯一需要的定制角色提供商的表格角色和用户InRoles。

CREATE TABLE Roles ( Rolename Text (255) NOT NULL, ApplicationName Text (255) NOT NULL, CONSTRAINT PKRoles PRIMARY KEY (Rolename, ApplicationName) )

CREATE TABLE UsersInRoles ( Username Text (255) NOT NULL, Rolename Text (255) NOT NULL, ApplicationName Text (255) NOT NULL, CONSTRAINT PKUsersInRoles PRIMARY KEY (Username, Rolename, ApplicationName) )

一旦设置了这一切,我需要弄清楚如何将全球数据存储中的2个标准角色(用户和管理员)与存储在我的应用程序数据库中的定制角色合并起来,以及我是否可以(例如)在主计长/行动上使用(例如)[授权(Roles=“Admin,超级用户”),或者我是否需要分级授权分配和做一些更聪明的事情。

我刚刚意识到,当我使用AD认证时,我需要一种方法来添加/注入当前用户是其成员的角色集。所以尽管我不需要任何定制的会员提供功能,但我仍必须与 httpContext.用户互动,以更新其角色集。

Answer 2

如果您的认证已经由 Windows 处理( 我通过活动目录来猜测), 那么您要寻找的是一个与用户角色匹配的授权机制。您有一个选项是一旦成功将用户角色装入当前会话。然后创建自定义授权属性, 它将检查当前会话是否具有您要工作的必要角色

[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, Inherited=true, AllowMultiple=true)]
public class CustomAuthorizationAttribute : AuthorizeAttribute
{
   protected override bool AuthorizeCore(HttpContextBase httpContext)
   {         
      IPrincipal user = httpContext.User;
      if (!user.Identity.IsAuthenticated)
      {
          return false;
      }

     //check your users against a database and return true or false
      return base.AuthorizeCore(httpContext);
   }
}

然后您就可以像这样使用属性

[CustomAuthorization]
public ActionResult SomeAction()
{
   return View();
}

<强> UPDATE

授权 Core 是用来检查是否允许该用户访问相应的行动方法的方法。您可以在此方法中检查 httpContext. User. identity. Name 属性位于数据库或您的角色存储处。如果您通过活动目录重新使用 Windows 验证, HttpContext. User. Identity 应该是 WindowowsIndentity 的例子。

Answer 3

您的“ 角色特等” 与您的“ 角色Provider” 同步更新, 应该是获取与被认证用户相关的角色列表所需要的全部。记住, “ 角色特等” 将已经包含适当的 WindowsIdent 身份。

您不需要自定义授权属性。角色主管/ ROLE Provider 将获取所需的角色, 并使用标准授权属性工作。

似乎有点奇怪的是, 您想要有您应用程序中特有的角色, 但是您说您也想要从一个单独的公司仓库中找到与 Windows 用户相关的角色。正如您所说的, 您想要合并它们。这似乎不正确。您要么想管理您的应用程序中公司一级的角色, 要么想管理本地一级的角色。通常您不会同时这样做。

但如果这是你真正想要做的,那么听起来就像你的角色保护者需要做一个服务(例如,WCF)呼叫或AD呼叫以获取更多信息。也许窗口用户所属的“组”的名称可以作为“功能 ” 。然后,你将只过滤应用程序所关心的那些组, 并且与您在本地角色数据库中发现的角色结合起来。

一旦收集了所有的信息, 请务必让角色管理者负责将角色信息存储在饼干里。使用用户提出的所有要求来通过这个boilabaloo是没有意义的。

友情链接