ASP.NET 系列:RBAC許可權設計

来源:http://www.cnblogs.com/easygame/archive/2016/01/30/5170470.html
-Advertisement-
Play Games

許可權系統的組成通常包括RBAC模型、許可權驗證、許可權管理以及界面訪問控制。現有的一些許可權系統分析通常存在以下問題: (1)沒有許可權的設計思路 認為所有系統都可以使用一套基於Table設計的許可權系統。事實上設計許可權系統的重點是判斷角色的穩定性和找出最小授權需求。角色的穩定性決定了系統是通過角色判斷許可權還


許可權系統的組成通常包括RBAC模型、許可權驗證、許可權管理以及界面訪問控制。現有的一些許可權系統分析通常存在以下問題:

(1)沒有許可權的設計思路

認為所有系統都可以使用一套基於Table設計的許可權系統。事實上設計許可權系統的重點是判斷角色的穩定性和找出最小授權需求。角色的穩定性決定了系統是通過角色判斷許可權還是需要引入RBAC方式,最小授權需求防止我們過度設計導致超出授權需求的許可權粒度。

(2)沒有獨立的RBAC模型的概念

直接使用實體類表示RBAC模型,導致本身本應該只有幾行代碼且可以在項目級別復用的RBAC模型不僅不能復用,還要在每個項目無論是否需要都要有User、Role、Permission等實體類,更有甚者把實體類對應的數據表的結構和關聯當作許可權系統的核心。

(3)許可權的抽象錯誤

我們通常既不實現操作系統也不實現資料庫,雖然操作系統的許可權和資料庫的許可權可以借鑒,但一般的業務系統上來就弄出一堆增刪該查、訪問和執行這樣的許可權,真是跑偏的太遠了。首先業務層次的操作至少要從業務的含義出發,叫瀏覽、編輯、審核等這些客戶容易理解或就是客戶使用的辭彙更有意義,更重要的是我們是從角色中按照最小授權需求抽象出來的許可權,怎麼什麼都沒做就有了一堆許可權呢。

(4)將界面控制和許可權耦合到一起

開始的時候我們只有實體類Entities、應用服務Service以及對一些採用介面隔離原則定義的介面Interfaces,通常這個時候我們在Service的一個或多個方法會對應1個許可權,這個時候根本界面還沒有,就算有界面,也是界面對許可權的單向依賴,對於一個系統,可能不止有1個以上類型的客戶端,每個客戶端的界面訪問控制對許可權的依賴都應該存儲到客戶端,況且不同的客戶端對這些數據各奔沒有辦法復用。

 下麵我們使用儘可能少的代碼來構建一個可復用的既不依賴數據訪問層也不依賴界面的RBAC模型,在此基礎上對角色的穩定性和許可權的抽象做一個總結。

1.創建RBAC模型

使用POCO創建基於RBAC0級別的可復用的User、Role和Permissin模型。

using System.Collections.Generic;

namespace RBACExample.RBAC
{
    public class RBACUser
    {
        public string UserName { get; set; }

        public ICollection<RBACRole> Roles { get; set; } = new List<RBACRole>();
    }

    public class RBACRole
    {
        public string RoleName { get; set; }

        public ICollection<RBACPermission> Permissions { get; set; } = new List<RBACPermission>();
    }

    public class RBACPermission
    {
        public string PermissionName { get; set; }
    }
}

2.創建安全上下文

創建安全上下文RBACContext用於設置和獲取RBACUser對象。RBACContext使用線程級別的靜態變數保存RBACUser對象,不負責實體類到RBAC對象的轉換,保證復用性。

using System;

namespace RBACExample.RBAC
{
    public static class RBACContext
    {
        [ThreadStatic]
        private static RBACUser _User;

        private static Func<string, RBACUser> _SetRBACUser;

        public static void SetRBACUser(Func<string, RBACUser> setRBACUser)
        {
            _SetRBACUser = setRBACUser;
        }

        public static RBACUser GetRBACUser(string username)
        {
            return _User == null ? (_User = _SetRBACUser(username)) : _User;
        }

        public static void Clear()
        {
            _SetRBACUser = null;
        }
    }
}

3.自定義RoleProvider

自定義DelegeteRoleProvider,將許可權相關的GetRolesForUserIsUserInRole的具體實現委托給靜態代理,保證復用性。

using System;
using System.Web.Security;

namespace RBACExample.RBAC
{
    public class DelegeteRoleProvider : RoleProvider
    {
        private static Func<string, string[]> _GetRolesForUser;

        private static Func<string, string, bool> _IsUserInRole;

        public static void SetGetRolesForUser(Func<string, string[]> getRolesForUser)
        {
            _GetRolesForUser = getRolesForUser;
        }

        public static void SetIsUserInRole(Func<string, string, bool> isUserInRole)
        {
            _IsUserInRole = isUserInRole;
        }

        public override string[] GetRolesForUser(string username)
        {
            return _GetRolesForUser(username);
        }

        public override bool IsUserInRole(string username, string roleName)
        {
            return _IsUserInRole(username, roleName);
        }

        #region NotImplemented

        #endregion NotImplemented
    }
}

在Web.config中配置DelegeteRoleProvider

<system.web>
    <compilation debug="true" targetFramework="4.5.2"/>
    <httpRuntime targetFramework="4.5.2"/>
      <authentication mode="Forms">
      <forms loginUrl="~/Home/Login" cookieless="UseCookies" slidingExpiration="true" />
    </authentication>
    <roleManager defaultProvider="DelegeteRoleProvider" enabled="true">
      <providers>
        <clear />
        <add name="DelegeteRoleProvider" type="RBACExample.RBAC.DelegeteRoleProvider" />
      </providers>
    </roleManager>
  </system.web>

4.配置RBACContext和DelegeteRoleProvider

Application_Start中配置RBACContext和DelegeteRoleProvider依賴的代理。為了便於演示我們直接創建RBACUser對象,在後文中我們再針對不同系統演示實體類到RBAC模型的映射。

    public class MvcApplication : System.Web.HttpApplication
    {
        protected void Application_Start()
        {
            RBACContext.SetRBACUser(u =>
            {
                return new RBACUser
                {
                    UserName = u,
                    Roles = new List<RBACRole> {
                        new RBACRole
                        {
                            RoleName="admin",
                            Permissions = new List<RBACPermission> {
                                new RBACPermission {
                                     PermissionName="admin"
                                }
                            }
                        }
                    }
                };
            });
            DelegeteRoleProvider.SetGetRolesForUser(userName => RBACContext.GetRBACUser(userName).Roles.SelectMany(o => o.Permissions).Select(p => p.PermissionName).ToArray());
            DelegeteRoleProvider.SetIsUserInRole((userName, roleName) => RBACContext.GetRBACUser(userName).Roles.SelectMany(o => o.Permissions).Any(p => p.PermissionName == roleName));
            AreaRegistration.RegisterAllAreas();
            RouteConfig.RegisterRoutes(RouteTable.Routes);
        }
    }

5.在ASP.NET MVC中通過.NET API使用

User.IsInRoleAuthorizeAttribute此時都可以使用,我們已經完成了一個RBAC許可權中間層,即隔離了不同系統的具體實現,也不用使用新的API調用。如果是服務層,使用Thread.CurrentPrincipal.IsInRole和PrincipalPermissionAttribute

namespace RBACExample.Controllers
{
    public class HomeController : Controller
    {
        public ActionResult Login(string returnUrl)
        {
            FormsAuthentication.SetAuthCookie("admin", false);
            return Redirect(returnUrl);
        }

        public ActionResult Logoff()
        {
            FormsAuthentication.SignOut();
            return Redirect("/");
        }

        public ActionResult Index()
        {
            return Content("home");
        }

        [Authorize]
        public ActionResult Account()
        {
            return Content(string.Format("user is IsAuthenticated:{0}", User.Identity.IsAuthenticated));
        }

        [Authorize(Roles = "admin")]
        public ActionResult Admin()
        {
            return Content(string.Format("user is in role admin:{0}", User.IsInRole("admin")));
        }
    }
}

6.擴展AuthorizeAttribute,統一配置授權

AuthorizeAttribute的使用將授權分散在多個Controller中,我們可以擴展AuthorizeAttribute,自定義一個MvcAuthorizeAttribute,以靜態字典保存配置,這樣就可以通過代碼、配置文件或資料庫等方式讀取配置再存放到字典中,實現動態配置。此時可以從Controller中移除AuthorizeAttribute。如前文所述,客戶端的訪問控制與許可權的匹配應該存儲到客戶端為最佳,即使存放到資料庫也不要關聯許可權相關的表。

namespace RBACExample.RBAC
{
    public class MvcAuthorizeAttribute : AuthorizeAttribute
    {
        private static Dictionary<string, string> _ActionRoleMapping = new Dictionary<string, string>();

        public static void AddConfig(string controllerAction, params string[] roles)
        {
            var rolesString = string.Empty;
            roles.ToList().ForEach(r => rolesString += "," + r);
            rolesString = rolesString.TrimStart(',');
            _ActionRoleMapping.Add(controllerAction, rolesString);
        }

        public override void OnAuthorization(AuthorizationContext filterContext)
        {
            var key = string.Format("{0}{1}", filterContext.ActionDescriptor.ControllerDescriptor.ControllerName, filterContext.ActionDescriptor.ActionName);
            if (_ActionRoleMapping.ContainsKey(key))
            {
                this.Roles = _ActionRoleMapping[key];
                base.OnAuthorization(filterContext);
            }
        }
    }
}

通過GlobalFilterCollection配置將MvcAuthorizeAttribute配置為全局Filter。

         public static void RegisterGlobalFilters(GlobalFilterCollection filters)
        {
            filters.Add(new HandleErrorAttribute());
            MvcAuthorizeAttribute.AddConfig("AccountIndex");
            MvcAuthorizeAttribute.AddConfig("AdminIndex", Permission.AdminPermission);
            filters.Add(new MvcAuthorizeAttribute());
        }

7.按需設計實體類

當RBAC模型不直接依賴實體類時,實體類可以按需設計,不再需要為了遷就RBAC的關聯引入過多的實體,可以真正做到具體問題具體分析,不需要什麼系統都上Role、Permission等實體類,對於角色穩定的系統,既減少了系統的複雜度,也減少了大量後臺的功能實現,也簡化了後臺的操作,不用什麼系統都上一套用戶頭疼培訓人員也頭疼的許可權中心。

(1)使用屬性判斷許可權的系統

有些系統,比如個人博客,只有一個管理員角色admin,admin角色是穩定的許可權不變的,所以既不需要考慮使用多個角色也不需要再進行許可權抽象,因此使用User.IsAdmin屬性代替Role和Permission就可以,沒必要再使用Role和Permission實體類,增大代碼量。後臺進行許可權管理只需要實現屬性的編輯。

              RBACContext.SetRBACUser(u =>
            {
                var user = new UserEntity { UserName = "admin", IsAdmin = true };
                var rbacUser = new RBACUser { UserName = user.UserName };
                if (user.IsAdmin)
                {
                    rbacUser.Roles.Add(new RBACRole
                    {
                        RoleName = "admin",
                        Permissions = new List<RBACPermission> {new RBACPermission {
                                     PermissionName="admin"
                                } }
                    });
                }
                return rbacUser;
            });

(2)使用角色判斷許可權的系統

有些系統,比如B2C的商城,雖然有多個角色,但角色都是穩定的許可權不變的,使用User和Role就可以,沒有必要為了應用RBAC而引入Permission類,強行引入雖然實現了Role和Permission的分配回收功能,但實際上不會使用,只會使用User的Role授權功能。許可權的抽象要做到滿足授權需求即可,在角色就能滿足授權需求的情況下,角色和許可權的概念是一體的。後臺實現許可權管理只需要實現對用戶角色的管理。

(3)需要對角色進行動態授權的系統

有些系統,比如ERP,有多個不穩定的角色,每個角色通常對應多項許可權,由於組織機構和人員職責的變化,必須對角色的許可權進行動態分配,需要使用User、Role和Permission的組合。User由於許可權範圍的不同,通常具有一個或多個許可權,不同的User具有的角色通常不再是平行關係而是層級關係,如果不從Role中抽象Permission,需要定義大量的Role對應不同許可權的組合,遇到這種情況時,分離許可權,對角色進行許可權管理就成了必然。後臺實現許可權管理即需要實現對用戶角色的管理也需要實現對角色許可權的管理。

              RBACContext.SetRBACUser(u =>
            {
                var user = ObjectFactory.GetInstance<IUserService>().GetUserByName(u);
                return new RBACUser
                {
                    UserName = user.UserName,
                    Roles = user.Roles.Select(r => new RBACRole
                    {
                        RoleName = r.RoleName,
                        Permissions = r.Permissions.Select(p => new RBACPermission
                        {
                            PermissionName = p.Name
                        }).ToList()
                    }).ToList()
                };
            });

8.總結

使用RBAC模型和.NET的許可權驗證API解決了許可權系統的復用問題,從角色的穩定性出發防止實體類規模膨脹,通過最小授權需求的抽象可以防止許可權的濫用。

參考:

(1)https://en.wikipedia.org/wiki/Role-based_access_control

(2)http://csrc.nist.gov/groups/SNS/rbac/faq.html

(3)http://www.codeproject.com/Articles/875547/Custom-Roles-Based-Access-Control-RBAC-in-ASP-NET

(4)http://www.ibm.com/developerworks/cn/java/j-lo-rbacwebsecurity/

Demo下載


您的分享是我們最大的動力!

-Advertisement-
Play Games
更多相關文章
  • 今天做網站的時候,用到了分頁技術,我把使用方法記錄下來,以便日後查閱以及幫助新手朋友們。 DataList控制項可以按照列表的形式顯示數據表中的多行記錄,但是被顯示的多行記錄沒有分頁功能,使用起來不太方便。因此需要藉助PagedDataSource類來實現分頁,該類封裝了數據控制項的分頁屬性,其常用屬性
  • 我們知道在win10手機上和平板上都會有後退鍵,那麼PC上該怎麼辦呢?沒關係我們慢慢揭曉。 如果你已經是UWP的忠實用戶,那麼肯定會見到如下的後退鍵。 那麼我們如何來做出來呢?, 我們首先打開App.xaml.cs文件,在OnLaunched方法中Frame對象初始化完畢以後訂閱Navigated事
  • 通過調用分頁存儲過程,實現數據源分頁。
  • 進程是存在獨立的記憶體和資源的,但是AppDomain僅僅是邏輯上的一種抽象。一個process可以存在多個AppDomain。各個AppDomain之間的數據時相互獨立的。一個線程可以穿梭多個AppDomain。 一、屬性 ActivationContext 獲取當前應用程式域的激活上下文。Appl
  • AppDomain是CLR(Common Language Runtime:公共語言運行庫),它可以載入Assembly、創建對象以及執行程式。 AppDomain是CLR實現代碼隔離的基本機制。 每一個AppDomain可以單獨運行、停止;每個AppDomain都有自己預設的異常處理;一個AppD
  • 現在做程式都要將動態的頁面轉換成靜態頁面,今天教大家在ASP.NET 中實現靜態頁面的生成方法。 using System; using System.Data; using System.Configuration; using System.Web; using System.Web.Secur
  • HTTP請求工具類(功能:1、獲取網頁html;2、下載網路圖片;): using System; using System.Collections.Generic; using System.IO; using System.Linq; using System.Net; using System
  • 今年做的一個上位機工控WPF項目,做個小小的總結把,以後隨時來找 請不要帶血亂噴,我只是菜鳥.___by 鮑隊 類似於這樣子的;大致的意思是:一個代碼變數,通過改變變數的值,綁定這個變數的這個圓顏色也在變化 就是一種心跳效果 在網上數據觸發的感覺不多,廢了不少時間,這裡做個總結 1:通知 class
一周排行
    -Advertisement-
    Play Games
  • 移動開發(一):使用.NET MAUI開發第一個安卓APP 對於工作多年的C#程式員來說,近來想嘗試開發一款安卓APP,考慮了很久最終選擇使用.NET MAUI這個微軟官方的框架來嘗試體驗開發安卓APP,畢竟是使用Visual Studio開發工具,使用起來也比較的順手,結合微軟官方的教程進行了安卓 ...
  • 前言 QuestPDF 是一個開源 .NET 庫,用於生成 PDF 文檔。使用了C# Fluent API方式可簡化開發、減少錯誤並提高工作效率。利用它可以輕鬆生成 PDF 報告、發票、導出文件等。 項目介紹 QuestPDF 是一個革命性的開源 .NET 庫,它徹底改變了我們生成 PDF 文檔的方 ...
  • 項目地址 項目後端地址: https://github.com/ZyPLJ/ZYTteeHole 項目前端頁面地址: ZyPLJ/TreeHoleVue (github.com) https://github.com/ZyPLJ/TreeHoleVue 目前項目測試訪問地址: http://tree ...
  • 話不多說,直接開乾 一.下載 1.官方鏈接下載: https://www.microsoft.com/zh-cn/sql-server/sql-server-downloads 2.在下載目錄中找到下麵這個小的安裝包 SQL2022-SSEI-Dev.exe,運行開始下載SQL server; 二. ...
  • 前言 隨著物聯網(IoT)技術的迅猛發展,MQTT(消息隊列遙測傳輸)協議憑藉其輕量級和高效性,已成為眾多物聯網應用的首選通信標準。 MQTTnet 作為一個高性能的 .NET 開源庫,為 .NET 平臺上的 MQTT 客戶端與伺服器開發提供了強大的支持。 本文將全面介紹 MQTTnet 的核心功能 ...
  • Serilog支持多種接收器用於日誌存儲,增強器用於添加屬性,LogContext管理動態屬性,支持多種輸出格式包括純文本、JSON及ExpressionTemplate。還提供了自定義格式化選項,適用於不同需求。 ...
  • 目錄簡介獲取 HTML 文檔解析 HTML 文檔測試參考文章 簡介 動態內容網站使用 JavaScript 腳本動態檢索和渲染數據,爬取信息時需要模擬瀏覽器行為,否則獲取到的源碼基本是空的。 本文使用的爬取步驟如下: 使用 Selenium 獲取渲染後的 HTML 文檔 使用 HtmlAgility ...
  • 1.前言 什麼是熱更新 游戲或者軟體更新時,無需重新下載客戶端進行安裝,而是在應用程式啟動的情況下,在內部進行資源或者代碼更新 Unity目前常用熱更新解決方案 HybridCLR,Xlua,ILRuntime等 Unity目前常用資源管理解決方案 AssetBundles,Addressable, ...
  • 本文章主要是在C# ASP.NET Core Web API框架實現向手機發送驗證碼簡訊功能。這裡我選擇是一個互億無線簡訊驗證碼平臺,其實像阿裡雲,騰訊雲上面也可以。 首先我們先去 互億無線 https://www.ihuyi.com/api/sms.html 去註冊一個賬號 註冊完成賬號後,它會送 ...
  • 通過以下方式可以高效,並保證數據同步的可靠性 1.API設計 使用RESTful設計,確保API端點明確,並使用適當的HTTP方法(如POST用於創建,PUT用於更新)。 設計清晰的請求和響應模型,以確保客戶端能夠理解預期格式。 2.數據驗證 在伺服器端進行嚴格的數據驗證,確保接收到的數據符合預期格 ...