C# 对于API上的细粒度授权,哪种是正确的授权方法?
我在一个有多个安全层的网站上工作。最基本的安全级别由自定义授权属性处理,该属性验证用户是否处于正确的角色等 我们用Authorize方法装饰控制器中的方法,这防止未经授权的用户访问这些调用 然而,我们也有一些细粒度的授权要求。例如,公司A的用户不能修改公司B的任何用户。因此,虽然公司A和公司B的管理员都有权从API调用“UpdateUser”,但公司A应该不能更新公司B的一个用户 目前,跨公司的访问限制正在控制器内部处理。我遇到的问题是,我们引入的每一种新方法要么包含代码的复制粘贴,要么包含非常类似的变体 也就是说,我也不确定它是否属于服务(我们称之为UserService) 因此,我的选择是:C# 对于API上的细粒度授权,哪种是正确的授权方法?,c#,asp.net,asp.net-web-api,asp.net-web-api2,C#,Asp.net,Asp.net Web Api,Asp.net Web Api2,我在一个有多个安全层的网站上工作。最基本的安全级别由自定义授权属性处理,该属性验证用户是否处于正确的角色等 我们用Authorize方法装饰控制器中的方法,这防止未经授权的用户访问这些调用 然而,我们也有一些细粒度的授权要求。例如,公司A的用户不能修改公司B的任何用户。因此,虽然公司A和公司B的管理员都有权从API调用“UpdateUser”,但公司A应该不能更新公司B的一个用户 目前,跨公司的访问限制正在控制器内部处理。我遇到的问题是,我们引入的每一种新方法要么包含代码的复制粘贴,要么包含非常
对于这些类型的细粒度权利,哪些模式被认为是“最佳实践”;我个人只会在行动中保留访问检查。您始终可以尝试使用其他函数和lambda对其进行泛化,如:
return IfAccessIsGood("CompanyA","anotherparam",()=>{ /* do something */ });
[AuthorizeCustom]
[Route("{company}/{something}")]
[HttpPost]
public async Task<IHttpActionResult> DoSomething(string company, string something) {
if(company == "A" && something == "NOTA")
{
return BadRequest("Your company can't do that!!!");
}
else if(company == "B" && something == "NOTB")
{
return BadRequest("Your company can't do that!!!");
}
else {} // do the thing
}
[授权自定义]
[路线(“{company}/{something}”)]
[HttpPost]
公共异步任务DoSomething(字符串公司、字符串某物){
如果(公司=“A”&&something=“NOTA”)
{
返回错误请求(“您的公司不能这样做!!!”;
}
如果(公司==“B”&&something==“NOTB”)
{
返回错误请求(“您的公司不能这样做!!!”;
}
否则{}//做这件事
}
[AuthorizeCustom]
[RoutePrefix("CompanyA")]
public class CompanyA : BaseClass
{
[Route("{something}")]
[HttpPost]
override async Task<IHttpActionResult> DoSomething(string something) { return await base.DoSomething(something); }
override bool CheckAccess(string something) {
if(something != "A") return false;
else return true;
}
}
[授权自定义]
[RoutePrefix(“公司”)]
公共类公司a:基本类
{
[路线(“{something}”)]
[HttpPost]
重写异步任务DoSomething(字符串something){return wait base.DoSomething(something);}
重写布尔检查访问(字符串){
如果(某物!=“A”)返回false;
否则返回true;
}
}