C# asp.net webapi动态授权_C#_Asp.net Mvc_Dynamic_Asp.net Web Api2

C# asp.net webapi动态授权

c# asp.net-mvc dynamic

C# asp.net webapi动态授权,c#,asp.net-mvc,dynamic,asp.net-web-api2,C#,Asp.net Mvc,Dynamic,Asp.net Web Api2,我不熟悉webapi和mvc，我正在努力寻找一种基于角色和资源所有权动态处理授权的最佳实践。例如，帐户页面应允许员工管理员、员工呼叫中心或所属客户获取、发布、放置或删除帐户信息。因此，管理员和呼叫中心员工应该能够获取、发布、放置或删除任何用户ID请求，但客户机应该只能对其拥有的资源执行这些操作例如，Tom是用户ID 10，Jerry是用户ID 20 /任何管理员、呼叫中心或Tom都可以访问api/Account/10。杰瑞应该被踢出去。 /api/Account/20应由任何管理员、呼叫中心或

我不熟悉webapi和mvc，我正在努力寻找一种基于角色和资源所有权动态处理授权的最佳实践。例如，帐户页面应允许员工管理员、员工呼叫中心或所属客户获取、发布、放置或删除帐户信息。因此，管理员和呼叫中心员工应该能够获取、发布、放置或删除任何用户ID请求，但客户机应该只能对其拥有的资源执行这些操作

例如，Tom是用户ID 10，Jerry是用户ID 20

/任何管理员、呼叫中心或Tom都可以访问api/Account/10。杰瑞应该被踢出去。 /api/Account/20应由任何管理员、呼叫中心或Jerry访问。汤姆应该被踢出去

在webforms中，典型的解决方案是检查用户是否是客户端，并根据请求验证其id。（我知道AuthorizeAttribute不在webforms中，但以webapi/mvc中的转换为例进行了说明。）

这将起作用，但似乎所有权检查应该在到达控制器之前在单个位置进行，并且应该在整个应用程序中重复使用。我猜最好的地方要么是自定义AuthorizationFilterAttribute，要么是自定义AuthorizationAttribute，也许还可以创建一个新角色ClientOwner

    [Authorize(Roles = "Administrator, CallCenter, ClientOwner")]
    public string Get(int userID)
    {
        return "value";
    }

自定义属性

    public override void OnAuthorization(System.Web.Http.Controllers.HttpActionContext actionContext)
    {
        //If user is already authenticated don't bother checking the header for credentials
        if (Thread.CurrentPrincipal.Identity.IsAuthenticated) { return; }

        var authHeader = actionContext.Request.Headers.Authorization;

        if (authHeader != null)
        {
            if (authHeader.Scheme.Equals("basic", StringComparison.OrdinalIgnoreCase) &&
                !String.IsNullOrWhiteSpace(authHeader.Parameter))
            {
                var credArray = GetCredentials(authHeader);
                var userName = credArray[0];
                var password = credArray[1];

                //Add Authentication
                if (true)
                {
                    var currentPrincipal = new GenericPrincipal(new GenericIdentity(userName), null);
                    var user = GetUser(userName);

                    foreach (var claim in user.Cliams)
                    {
                        currentPrincipal.Identities.FirstOrDefault().AddClaim(new Claim(ClaimTypes.Role, claim);
                    }
                    //**************Not sure best way to get UserID below from url.***********************
                    if (user.userTypeID = UserTypeID.Client && user.userID == UserID)
                    {
                        currentPrincipal.Identities.FirstOrDefault().AddClaim(new Claim(ClaimTypes.Role, "ClientOwner"));
                    }
                    Thread.CurrentPrincipal = currentPrincipal;
                    return;
                }
            }
        }

        HandleUnauthorizedRequest(actionContext);
    }}

有人能告诉我处理个人用户授权的最佳位置吗？是否仍应在控制器中执行此操作，还是应将其移动到自定义AuthorizationFilterAttribute或自定义AuthorizationAttribute，或者是否应在其他地方处理此操作？如果正确的位置在自定义属性中，那么获取userID的最佳方法是什么？我应该创建一个新角色，如上面的示例，还是应该做一些不同的事情

这是一个常见的场景，我很惊讶我一直在努力寻找上述场景的例子。这让我相信，要么每个人都在控制器中进行检查，要么还有另一个我不知道的术语，因此我没有得到好的谷歌结果。

我认为您可能正在混淆授权和权限。“动态授权”不是你曾经做过的事情

授权是验证作者的行为

请求声称它是由Alice发送的

请求提供一个密码或授权令牌，证明请求者是Alice

服务器验证密码或授权令牌是否与其Alice的记录匹配

权限是指定谁可以在系统中做什么的业务逻辑

请求已被授权，我们知道它来自Alice

Alice正在请求删除一个重要资源

艾丽斯是管理员吗？如果没有，告诉她她不能那样做，因为她没有得到允许。（403禁止）

内置的

[Authorize]

属性允许您选择指定允许访问资源的

角色。在我看来，将权限指定为授权的一部分的选项有点错位
我的建议是将授权留给纯粹的验证请求作者的过程。所描述的基本CAuthTTP模块
已接近您想要的
非平凡的权限逻辑需要在操作体内部处理。下面是一个例子：
//Some authorization logic:
//  Only let a request enter this action if the author of
//  the request has been verified
[Authorize]
[HttpDelete]
[Route("resource/{id}")]
public IHttpActionResult Delete(Guid id)
{
    var resourceOwner = GetResourceOwner(id);

    //Some permissions logic:
    //  Only allow deletion of the resource if the
    //  user is both an admin and the owner.
    if (!User.IsInRole("admin") || User.Identity.Name != resourceOwner)
    {
        return StatusCode(HttpStatusCode.Forbidden);
    }

    DeleteResource(id);
    return StatusCode(HttpStatusCode.NoContent);
}

在本例中，很难将权限逻辑作为操作的属性进行传递，因为将当前用户与资源所有者进行比较的权限部分只能在您实际从后端存储设备获取资源所有者信息后才能进行评估。虽然您可能认为在“授权”属性中使用动态授权是个坏主意，但是，我相信您对授权的定义实际上是身份验证，您对权限的定义是授权的同义词。话虽如此，到目前为止，我所看到的标准是将身份验证和授权（至少是角色）放在授权属性中，这将使您纠正它有点误导或至少名称不正确。我愿意将您的答案标记为正确，但我不介意给它一点时间，看看是否有人有其他解决方案，可以删除对另一个自包含位置的所有身份验证和授权/权限。我不仅希望清理控制器的混乱，而且希望使用此身份验证的依赖项注入进行测试。最后一个想法是，我没有仔细研究动作过滤器，但我想知道这可能不是一个好地方，或者我只是以不同的方式引入了相同的问题。我知道这已经有点过时了，但这需要澄清，以免引起其他人的困惑。众所周知，身份验证是确定身份（即用户是谁）的过程，授权是确定用户一旦被识别后可以做什么。当框架使用authorize属性时，用户的身份已经知道了。因此，是您授权经过身份验证的用户访问控制器操作。@TimothyShields在该wiki页面中401的描述中说，您未经授权，因为身份验证失败。我相信这仍然符合我所说的。然而，这根本不重要。我说过，身份验证和授权具有被广泛接受的含义，因为它们确实如此。我在许多技术堆栈中处理或阅读过的每一个安全框架和库（我猜大概有15个）都做出了与我所解释的区别一致的区分。@Timothyshiels在谷歌上搜索“身份验证”与“授权”将显示大量详细说明我所说内容的信息。这里有一个链接
//Some authorization logic:
//  Only let a request enter this action if the author of
//  the request has been verified
[Authorize]
[HttpDelete]
[Route("resource/{id}")]
public IHttpActionResult Delete(Guid id)
{
    var resourceOwner = GetResourceOwner(id);

    //Some permissions logic:
    //  Only allow deletion of the resource if the
    //  user is both an admin and the owner.
    if (!User.IsInRole("admin") || User.Identity.Name != resourceOwner)
    {
        return StatusCode(HttpStatusCode.Forbidden);
    }

    DeleteResource(id);
    return StatusCode(HttpStatusCode.NoContent);
}