ASP.NET MVC - альтернатива ролевому провайдеру?

Question

Я пытаюсь избежать использования ролевого провайдера и провайдера членства, поскольку, на мой взгляд, он слишком неуклюжий, и поэтому я пытаюсь сделать свою собственную "версию", которая будет менее неуклюжей и более управляемой / гибкой.Теперь мой вопрос ... есть ли альтернатива провайдеру ролей, который является достойным?(Я знаю, что могу сделать своего провайдера ролей, провайдера членства и т. Д.)с контекстом базы данных, вместо этого я обязан использовать статический класс Roles, который имеет собственный контекст базы данных и т. д., также имена таблиц ужасны.

Заранее спасибо.

Answer 1

Я в одной лодке с тобой - я всегда ненавидел RoleProviders. Да, они хороши, если вы хотите, чтобы все было готово для небольшого сайта , но они не очень реалистичны. Основным недостатком, который я всегда обнаруживал, является то, что они напрямую связывают вас с ASP.NET.

В моем недавнем проекте я определил пару интерфейсов, являющихся частью уровня обслуживания (ПРИМЕЧАНИЕ. Я немного их упростил, но вы могли бы легко добавить их):

public interface IAuthenticationService
{
    bool Login(string username, string password);
    void Logout(User user);
}

public interface IAuthorizationService
{
    bool Authorize(User user, Roles requiredRoles);
}

Тогда ваши пользователи могут иметь перечисление Roles:

public enum Roles
{
    Accounting = 1,
    Scheduling = 2,
    Prescriptions = 4
    // What ever else you need to define here.
    // Notice all powers of 2 so we can OR them to combine role permissions.
}

public class User
{
    bool IsAdministrator { get; set; }
    Roles Permissions { get; set; }
}

Для вашего IAuthenticationService у вас может быть базовая реализация, которая выполняет стандартную проверку пароля, а затем у вас может быть FormsAuthenticationService, который немного больше, например, установка cookie и т. Д. Для вашего AuthorizationService вы ' мне нужно что-то вроде этого:

public class AuthorizationService : IAuthorizationService
{
    public bool Authorize(User userSession, Roles requiredRoles)
    {
        if (userSession.IsAdministrator)
        {
            return true;
        }
        else
        {
            // Check if the roles enum has the specific role bit set.
            return (requiredRoles & user.Roles) == requiredRoles;
        }
    }
}

Помимо этих базовых служб вы можете легко добавлять службы для сброса паролей и т. Д.

Поскольку вы используете MVC, вы можете выполнить авторизацию на уровне действий, используя ActionFilter:

public class RequirePermissionFilter : IAuthorizationFilter
{
    private readonly IAuthorizationService authorizationService;
    private readonly Roles permissions;

    public RequirePermissionFilter(IAuthorizationService authorizationService, Roles requiredRoles)
    {
        this.authorizationService = authorizationService;
        this.permissions = requiredRoles;
        this.isAdministrator = isAdministrator;
    }

    private IAuthorizationService CreateAuthorizationService(HttpContextBase httpContext)
    {
        return this.authorizationService ?? new FormsAuthorizationService(httpContext);
    }

    public void OnAuthorization(AuthorizationContext filterContext)
    {
        var authSvc = this.CreateAuthorizationService(filterContext.HttpContext);
        // Get the current user... you could store in session or the HttpContext if you want too. It would be set inside the FormsAuthenticationService.
        var userSession = (User)filterContext.HttpContext.Session["CurrentUser"];

        var success = authSvc.Authorize(userSession, this.permissions);

        if (success)
        {
            // Since authorization is performed at the action level, the authorization code runs
            // after the output caching module. In the worst case this could allow an authorized user
            // to cause the page to be cached, then an unauthorized user would later be served the
            // cached page. We work around this by telling proxies not to cache the sensitive page,
            // then we hook our custom authorization code into the caching mechanism so that we have
            // the final say on whether or not a page should be served from the cache.
            var cache = filterContext.HttpContext.Response.Cache;
            cache.SetProxyMaxAge(new TimeSpan(0));
            cache.AddValidationCallback((HttpContext context, object data, ref HttpValidationStatus validationStatus) =>
            {
                validationStatus = this.OnCacheAuthorization(new HttpContextWrapper(context));
            }, null);
        }
        else
        {
            this.HandleUnauthorizedRequest(filterContext);
        }
    }

    private void HandleUnauthorizedRequest(AuthorizationContext filterContext)
    {
        // Ajax requests will return status code 500 because we don't want to return the result of the
        // redirect to the login page.
        if (filterContext.RequestContext.HttpContext.Request.IsAjaxRequest())
        {
            filterContext.Result = new HttpStatusCodeResult(500);
        }
        else
        {
            filterContext.Result = new HttpUnauthorizedResult();
        }
    }

    public HttpValidationStatus OnCacheAuthorization(HttpContextBase httpContext)
    {
        var authSvc = this.CreateAuthorizationService(httpContext);
        var userSession = (User)httpContext.Session["CurrentUser"];

        var success = authSvc.Authorize(userSession, this.permissions);

        if (success)
        {
            return HttpValidationStatus.Valid;
        }
        else
        {
            return HttpValidationStatus.IgnoreThisRequest;
        }
    }
}

Что вы можете затем украсить на действиях вашего контроллера:

[RequirePermission(Roles.Accounting)]
public ViewResult Index()
{
   // ...
}

Преимущество этого подхода заключается в том, что вы также можете использовать внедрение зависимостей и контейнер IoC для соединения. Кроме того, вы можете использовать его в нескольких приложениях (не только в вашем ASP.NET). Вы бы использовали ORM для определения подходящей схемы.

Если вам нужна более подробная информация о FormsAuthorization/Authentication услугах или о том, куда идти отсюда, сообщите мне.

РЕДАКТИРОВАТЬ: Чтобы добавить «усечение безопасности», вы можете сделать это с помощью HtmlHelper. Это, вероятно, нужно немного больше ... но вы поняли.

public static bool SecurityTrim<TModel>(this HtmlHelper<TModel> source, Roles requiredRoles)
{
    var authorizationService = new FormsAuthorizationService();
    var user = (User)HttpContext.Current.Session["CurrentUser"];
    return authorizationService.Authorize(user, requiredRoles);
}

А затем внутри вашего представления (используя синтаксис Razor здесь):

@if(Html.SecurityTrim(Roles.Accounting))
{
    <span>Only for accounting</span>
}

EDIT: UserSession будет выглядеть примерно так:

public class UserSession
{
    public int UserId { get; set; }
    public string UserName { get; set; }
    public bool IsAdministrator { get; set; }
    public Roles GetRoles()
    {
         // make the call to the database or whatever here.
         // or just turn this into a property.
    }
}

Таким образом, мы не раскрываем хэш пароля и все другие детали внутри сеанса текущего пользователя, поскольку они действительно не нужны для продолжительности сеанса пользователя.

Answer 2

Я реализовал поставщика ролей на основе сообщения @TheCloudlessSky здесь.Я подумал, что могу добавить несколько вещей и поделиться тем, что я сделал.Во-первых, если вы хотите использовать класс RequirepPermission для своих фильтров действий в качестве атрибута, вам нужно реализовать класс ActionFilterAttribute для класса RequirepPermission.

Классы интерфейса IAuthenticationService и IAuthorizationService

public interface IAuthenticationService
{
    void SignIn(string userName, bool createPersistentCookie);
    void SignOut();
}

public interface IAuthorizationService
{
    bool Authorize(UserSession user, string[] requiredRoles);
}

FormsAuthenticationService класс

/// <summary>
/// This class is for Form Authentication
/// </summary>
public class FormsAuthenticationService : IAuthenticationService
{

    public void SignIn(string userName, bool createPersistentCookie)
    {
        if (String.IsNullOrEmpty(userName)) throw new ArgumentException(@"Value cannot be null or empty.", "userName");

        FormsAuthentication.SetAuthCookie(userName, createPersistentCookie);
    }

    public void SignOut()
    {
        FormsAuthentication.SignOut();
    }
}

UserSession calss

public class UserSession
{
    public string UserName { get; set; }
    public IEnumerable<string> UserRoles { get; set; }
}

Еще один момент - класс FormsAuthorizationService и как мы можем назначить пользователя для httpContext.Session["CurrentUser"].Мой подход в этой ситуации заключается в создании нового экземпляра класса userSession и непосредственном назначении пользователя из httpContext.User.Identity.Name переменной userSession, как вы можете видеть в FormsAuthorizationService class.

[AttributeUsageAttribute(AttributeTargets.Class | AttributeTargets.Struct | AttributeTargets.Constructor | AttributeTargets.Method, Inherited = false)]
public class RequirePermissionAttribute : ActionFilterAttribute, IAuthorizationFilter
{
    #region Fields

    private readonly IAuthorizationService _authorizationService;
    private readonly string[] _permissions;

    #endregion

    #region Constructors

    public RequirePermissionAttribute(string requiredRoles)
    {
        _permissions = requiredRoles.Trim().Split(',').ToArray();
        _authorizationService = null;
    }

    #endregion

    #region Methods

    private IAuthorizationService CreateAuthorizationService(HttpContextBase httpContext)
    {
        return _authorizationService ?? new FormsAuthorizationService(httpContext);
    }

    public void OnAuthorization(AuthorizationContext filterContext)
    {
        var authSvc = CreateAuthorizationService(filterContext.HttpContext);
        // Get the current user... you could store in session or the HttpContext if you want too. It would be set inside the FormsAuthenticationService.
        if (filterContext.HttpContext.Session == null) return;
        if (filterContext.HttpContext.Request == null) return;
        var success = false;
        if (filterContext.HttpContext.Session["__Roles"] != null)
        {
            var rolesSession = filterContext.HttpContext.Session["__Roles"];
            var roles = rolesSession.ToString().Trim().Split(',').ToList();
            var userSession = new UserSession
            {
                UserName = filterContext.HttpContext.User.Identity.Name,
                UserRoles = roles
            };
            success = authSvc.Authorize(userSession, _permissions);
        }
        if (success)
            {
                // Since authorization is performed at the action level, the authorization code runs
                // after the output caching module. In the worst case this could allow an authorized user
                // to cause the page to be cached, then an unauthorized user would later be served the
                // cached page. We work around this by telling proxies not to cache the sensitive page,
                // then we hook our custom authorization code into the caching mechanism so that we have
                // the final say on whether or not a page should be served from the cache.
                var cache = filterContext.HttpContext.Response.Cache;
                cache.SetProxyMaxAge(new TimeSpan(0));
                cache.AddValidationCallback((HttpContext context, object data, ref HttpValidationStatus validationStatus) =>
                                                {
                                                    validationStatus = OnCacheAuthorization(new HttpContextWrapper(context));
                                                }, null);
            }
            else
            {
                HandleUnauthorizedRequest(filterContext);
            }
    }

    private static void HandleUnauthorizedRequest(AuthorizationContext filterContext)
    {
        // Ajax requests will return status code 500 because we don't want to return the result of the
        // redirect to the login page.
        if (filterContext.RequestContext.HttpContext.Request.IsAjaxRequest())
        {
            filterContext.Result = new HttpStatusCodeResult(500);
        }
        else
        {
            filterContext.Result = new HttpUnauthorizedResult();
        }
    }

    private HttpValidationStatus OnCacheAuthorization(HttpContextBase httpContext)
    {
        var authSvc = CreateAuthorizationService(httpContext);
        if (httpContext.Session != null)
        {
            var success = false;
            if (httpContext.Session["__Roles"] != null)
            {
                var rolesSession = httpContext.Session["__Roles"];
                var roles = rolesSession.ToString().Trim().Split(',').ToList();
                var userSession = new UserSession
                {
                    UserName = httpContext.User.Identity.Name,
                    UserRoles = roles
                };
                success = authSvc.Authorize(userSession, _permissions);
            }
            return success ? HttpValidationStatus.Valid : HttpValidationStatus.IgnoreThisRequest;
        }
        return 0;
    }

    #endregion
}

internal class FormsAuthorizationService : IAuthorizationService
{
    private readonly HttpContextBase _httpContext;

    public FormsAuthorizationService(HttpContextBase httpContext)
    {
        _httpContext = httpContext;
    }

    public bool Authorize(UserSession userSession, string[] requiredRoles)
    {
        return userSession.UserRoles.Any(role => requiredRoles.Any(item => item == role));
    }
}

затем в вашем контроллерепосле аутентификации пользователя вы можете получить роли из базы данных и назначить их для сеанса ролей:

var roles = Repository.GetRolesByUserId(Id);
if (ControllerContext.HttpContext.Session != null)
   ControllerContext.HttpContext.Session.Add("__Roles",roles);
FormsService.SignIn(collection.Name, true);

После выхода пользователя из системы вы можете очистить сеанс

FormsService.SignOut();
Session.Abandon();
return RedirectToAction("Index", "Account");

Предостережение в этой модели заключается в том, что при входе пользователя в систему, если ему назначена роль, авторизация не работает, если он не выйдет из системы и снова не войдет в систему.

Другое дело, что нет необходимости иметь отдельный класс для ролей, поскольку мы можем получить роли непосредственно из базы данных и установить его в сеансе ролей в контроллере.

После того, как вы закончите реализацию всех этих кодов, одинПоследний шаг - привязать этот атрибут к вашим методам в контроллере:

[RequirePermission("Admin,DM")]
public ActionResult Create()
{
return View();
}

Answer 3

Если вы используете Castle Windsor Dependency Injection, вы можете внедрить списки RoleProviders, которые можно использовать для определения прав пользователя из любого источника, который вы решите внедрить.

http://ivida.co.uk/2011/05/18/mvc-getting-user-roles-from-multiple-sources-register-and-resolve-arrays-of-dependencis-using-the-fluent-api/

Answer 4

Вам не нужно использовать статический класс для ролей.Например, SqlRoleProvider позволяет вам определять роли в базе данных.

Конечно, если вы хотите извлечь роли из вашего собственного сервисного уровня, то не так сложно создать свойпоставщик ролей - способов на самом деле не так много.

Answer 5

Вы можете реализовать своих членов и роли провайдеров, переопределив соответствующие интерфейсы.

Если вы хотите начать с нуля, обычно эти типы реализованы в виде пользовательского http-модуля , который хранит учетные данные пользователей либо в httpcontext, либо в сеансе. В любом случае вы, вероятно, захотите установить cookie с каким-либо токеном аутентификации.