ASP.NET Страница Авторизация ... Как вы это делаете?

Question

В настоящее время я изучаю альтернативные решения для стандартной конфигурации авторизации страницы в asp.net.

Тег местоположения работает нормально, если у вас есть каталоги файлов, для которых требуется та же политика доступа, но если у вас много индивидуальных политик доступа, тег местоположения является проблемой. Я мог бы свернуть свою собственную систему аутентификации, но если этого можно избежать, то, вероятно, лучше.

В настоящее время мы используем систему авторизации на основе разрешений в виде азманов для содержимого страницы, но я пока не нашел хорошего способа интегрировать это со стандартной безопасностью страниц.

Есть предложения, как это сделать? Существуют ли решения, интегрирующие авторизацию страниц azman и asp.net? Существуют ли другие стандартные решения, о которых мне следует знать?

Answer 1

Я сделал это в огромном приложении, имеющем множество разных разрешений и разных ролей, что-то вроде следующего [У меня нет кода здесь, поэтому я просто попробую воссоздать его здесь]:

Сначала я реализовал класс с именем SecuredPage следующим образом:

public class SecuredPage : System.Web.UI.Page
{
    // Those Permissions are mandatory, so user needs to have all of them
    public List MandatoryPermissions { get; set; }

    // Those Permissions are optional, so if the user have at least one of them, he can access
    public List OptionalPermissions { get; set; }

    protected override void OnLoad(EventArgs e)
    {
        MyUser loggedUser = (MyUser) this.User;

        base.OnLoad(e);

        foreach (Permission mandatoryPermission in MandatoryPermissions)
        {
            // if the user don't have permission, we can redirect him
            if (!loggedUser.HasPermission(mandatoryPermission))
            {
                RedirectToDontHaveAccess();
                break;
            }
        }

        bool hasAccessToThePage = false;

        foreach (Permission optionalPermission in OptionalPermissions)
        {
            // If the user has at least one of the permissions, he can access
            if (loggedUser.HasPermission(optionalPermission))
            {
                hasAccessToThePage = true;
            }
        }

        if (!hasAccessToThePage)
        {
            RedirectToDontHaveAccess();
        }

    }

    private void RedirectToDontHaveAccess()
    {
        throw new NotImplementedException();
    }
}

Это будет моя базовая страница для всех страниц, для которых пользователю необходимы разрешения. MandatoryPermissions - это разрешения, которые пользователь ДОЛЖЕН иметь у всех из них для доступа к странице, а OptionalPermissions - это разрешения, которые необходимы пользователю по крайней мере для одного из них для доступа к странице. Нет необходимости использовать оба на каждой странице, потому что, если у вас есть MandatoryPermissions, не имеет значения, есть ли у вас дополнительные опции или нет.

Разрешение является перечислением:

public enum Permission
{
    // Usually this enum will replicate a domain table from the database
    EditUser = 1,
    SearchUserByUsername = 2,
    SearchUserByEmail = 3

}

А MyUser является реализацией MembershipUser:

public class MyUser : System.Web.Security.MembershipUser
{
    internal bool HasPermission(Permission permission)
    {
        //
        // TODO: Check on database if the user has the permission or not
        //
    }
}

Тогда единственное, что вам нужно сделать на своих страницах, это заполнить списки разрешений:

public partial class EditUser : SecuredPage
{
    protected void Page_Load(object sender, EventArgs e)
    {
        MandatoryPermissions.Add(Permission.EditUser);
    }
}

public partial class SearchUser : SecuredPage
{
    protected void Page_Load(object sender, EventArgs e)
    {
        OptionalPermissions.Add(Permission.SearchUserByUsername);
        OptionalPermissions.Add(Permission.SearchUserByEmail);
    }
}

Хорошо, пример поиска был не очень хорошим, но я думаю, вы поняли картину.

Вся идея в том, что base.OnLoad(e); вызывается непосредственно перед проверкой разрешений, поэтому вам просто нужно заполнить разрешения в вашем Page_Load.

Я не уверен, что это лучшее решение, но я уверен, что оно очень помогает:)

Answer 2

Как насчет отображения страниц на роли в вашей базе данных, а затем позволить вашей главной странице проверять БД при загрузке страницы?

Answer 3

Установили ли вы объекты GenericIdentity и IPrincipal во время использования метода Application_AuthenticateRequest приложения?

В настоящее время мы используем наш домен для аутентификации, а группы / роли пользователей в базе данных SQL Server для авторизации. Во время применения метода Application_AuthenticateRequest я собираю все эти данные и на его основе создаю объект FormsAuthenticationTicket.

Таким образом, теперь я имею доступ к ролям пользователя, выполнив в своем коде простую команду User.IsInRole ("RoleX"), которая позволяет мне легко блокировать / разблокировать пользовательские элементы управления или даже выполнять простой ответ. Перенаправьте () на страницу «Ошибка авторизации», если они не имеют надлежащей авторизации.

Вот как выглядит мой метод AuthenticateRequest (VB.NET)

Sub Application_AuthenticateRequest(ByVal sender As Object, _
                                       ByVal e As EventArgs)

      Dim formsAuthTicket As FormsAuthenticationTicket
      Dim httpCook As HttpCookie
      Dim objGenericIdentity As GenericIdentity
      Dim objMyAppPrincipal As CustomPrincipal
      Dim strRoles As String()

      httpCook = Context.Request.Cookies.Get("authCookieEAF")
      formsAuthTicket = FormsAuthentication.Decrypt(httpCook.Value)
      objGenericIdentity = New GenericIdentity(formsAuthTicket.Name)
      strRoles = formsAuthTicket.UserData.Split("|"c)
      objMyAppPrincipal = New CustomPrincipal(objGenericIdentity, strRoles)
      HttpContext.Current.User = objMyAppPrincipal    

   End Sub

... и аналогично вот как выглядит объект CustomPrincipal:

Public Class CustomPrincipal
   Implements IPrincipal


   ''' <summary>
   '''    Identity object of user.
   ''' </summary>
   ''' <remarks></remarks>
   Private m_identity As IIdentity

   ''' <summary>
   '''    Roles(s) a user is a part of.
   ''' </summary>
   ''' <remarks></remarks>
   Private m_roles As String()

   ''' <summary>
   '''    Name of user.
   ''' </summary>
   ''' <remarks></remarks>
   Private m_userId As String

   ''' <summary>
   '''    Gets/Sets the user name.
   ''' </summary>
   ''' <value>m_userId</value>
   ''' <returns>Current name of user.</returns>
   ''' <remarks></remarks>
   Public Property UserId() As String
      Get
         Return m_userId
      End Get
      Set(ByVal value As String)
         m_userId = value
      End Set
   End Property

   ''' <summary>
   '''    Gets the identity object of the user.
   ''' </summary>
   ''' <value>m_identity</value>
   ''' <returns>Current identity of user.</returns>
   ''' <remarks></remarks>
   Public ReadOnly Property Identity() As System.Security.Principal.IIdentity Implements System.Security.Principal.IPrincipal.Identity
      Get
         Return m_identity
      End Get
   End Property

   ''' <summary>
   '''    Full constructor.
   ''' </summary>
   ''' <param name="identity">Identity to use with Custom Principal.</param>
   ''' <param name="roles">Roles for user.</param>
   ''' <remarks>Identity object contains user name when building constructor.</remarks>
   Public Sub New(ByVal identity As IIdentity, ByVal roles As String())

      m_identity = identity
      m_roles = New String(roles.Length) {}
      roles.CopyTo(m_roles, 0)
      Array.Sort(m_roles)
      m_userId = identity.Name

   End Sub

   ''' <summary>
   '''    Determines if the current user is in the role specified.
   ''' </summary>
   ''' <param name="role">Role to test against.</param>
   ''' <returns>Boolean variable indicating if role specified exists in user's m_roles array.</returns>
   ''' <remarks></remarks>
   Public Function IsInRole(ByVal role As String) As Boolean Implements System.Security.Principal.IPrincipal.IsInRole

      Dim boolResults As Boolean

      If Array.BinarySearch(m_roles, role) >= 0 Then
         boolResults = True
      Else
         boolResults = False
      End If

      Return boolResults

   End Function

End Class

Надеюсь, это даст вам то, что вам нужно, чтобы внести это в вашу среду.