1.声明的介绍
基于角色的授权管理,适用于角色变化不大,并且用户权限不会频繁更改的场景。
在更复杂的环境下,仅仅通过给用户分配角色并不能有效地控制用户访问权限。
基于声明的授权有许多好处,它使认证和授权分离,同时分离了角色和授权逻辑,提供更细粒度的权限控制。
Claim就是关于用户信息的陈述,例如姓名、性别、电话、角色等。
声明被包装成令牌(Token),并可以通过JSON Web Token (JWT)传递。
.net中声明的属性(System.Security.Claims.Claim类)
Subject属性(System.Security.Claims.ClaimsIdentity,主题),
Type属性(声明类型,只读,String类型),
Value属性(声明的值,只读,String类型),
ValueType(声明的值类型,只读,String类型),
Issuer属性(声明的颁发者,只读,String类型)
//获取声明,这里通过获取认证用户(IPrincipal)的标识(Indentity)并通过linq遍历出所有的声明
public IHttpActionResult GetClaims()
{
var identity = User.Identity as ClaimsIdentity;//System.Security.Claims.ClaimsIndentity类
var claims = from c in identity.Claims
select new
{
subject = c.Subject.Name,
type = c.Type,
value = c.Value
};
return Ok(claims);
}
//返回值举例
[
{
"subject": "Hamza",
"type": "http://schemas.microsoft.com/accesscontrolservice/2010/07/claims/identityprovider",
"value": "ASP.NET Identity"
},
{
"subject": "Hamza",
"type": "iss",
"value": "http://localhost:59822"
},
{
"subject": "Hamza",
"type": "AspNet.Identity.SecurityStamp",
"value": "a77594e2-ffa0-41bd-a048-7398c01c8948"
}
]
2,实现基于声明的标志Implementing Claims-Based Identity
第一步,让第三方应用支持声明方式的授权
WIF4.5类库已经实现了基础类库(核心在System.Security.Claims命名空间),可以直接使用。
System.Security.Claims.ClaimsAuthenticationManager.Authenticate(string, System.Security.Claims.ClaimsPrincipal)方法,用于认证;
System.Security.Claims.ClaimsAuthorizationManager.CheckAccess(System.Security.Claims.AuthorizationContext context)方法,用于授权;
这两者都是virtual ,因此可以override
在支持owin规范的host中,可以使用middleware的方式拦截请求,实现认证和授权。
在Web API框架和MVC框架中,可以使用过滤器拦截机制。
另外Web API框架还支持继承System.Net.Http.HttpMessageHandler类(或者其子类System.Net.Http.DelegatingHandler)进行请求消息拦截。
以上方式混合使用时,请求管道参考(Web API框架下),其中“认证”使用HttpMessageHandler,“授权”使用过滤器
第二步,获取或者构造声明的颁发者(Issuer)。
可以使用现有产品,例如ADFS或者Azure AD
Azure AD 身份验证库 (ADAL) .net类库参考https://msdn.microsoft.com/zh-cn/library/azure/microsoft.identitymodel.clients.activedirectory.aspx
命名空间: Microsoft.IdentityModel.Clients.ActiveDirectory
程序集: Microsoft.IdentityModel.Clients.ActiveDirectory(Microsoft.IdentityModel.Clients.ActiveDirectory.dll 中)
Azure AD的认证流程。
第三步,配置第三方应用“信任”颁发者。
例如,颁发者提供什么声明,令牌如何签名,获取令牌的URL等
进入Azure.cn管理门户,在Azure Active Directory中添加应用程序。
第四步,配置Issuer以便了解一些第三方的信息。
例如第三方用于接收Token的URL;Issuer提供的声明,哪些是必需的,哪些是可选的;是否需要对Issuer加密等。
运维网声明
1、欢迎大家加入本站运维交流群:群②:261659950 群⑤:202807635 群⑦870801961 群⑧679858003
2、本站所有主题由该帖子作者发表,该帖子作者与运维网 享有帖子相关版权
3、所有作品的著作权均归原作者享有,请您和我们一样尊重他人的著作权等合法权益。如果您对作品感到满意,请购买正版
4、禁止制作、复制、发布和传播具有反动、淫秽、色情、暴力、凶杀等内容的信息,一经发现立即删除。若您因此触犯法律,一切后果自负,我们对此不承担任何责任
5、所有资源均系网友上传或者通过网络收集,我们仅提供一个展示、介绍、观摩学习的平台,我们不对其内容的准确性、可靠性、正当性、安全性、合法性等负责,亦不承担任何法律责任
6、所有作品仅供您个人学习、研究或欣赏,不得用于商业或者其他用途,否则,一切后果均由您自己承担,我们对此不承担任何法律责任
7、如涉及侵犯版权等问题,请您及时通知我们,我们将立即采取措施予以解决
8、联系人Email:admin@iyunv.com 网址:www.yunweiku.com