7

我正在编写一个示例文件存储系统(仅用于 stackoverflow 的示例)。

我当前的域模型如下所示:

public class User
{
    public int ID { get; set; }
    public string LoginIdentifier { get; set; }
    public string Password { get; set; }
}

public class File
{
    public int ID { get; set; }
    public int UserID { get; set; }
    public string FileName { get; set; }
    public byte[] Data { get; set; }
}

我正在编写的创建 IPrincipal 的代码:

private static IPrincipal CreatePrincipal(User user)
{
    Debug.Assert(user != null);

    var identity = new GenericIdentity(user.LoginIdentifier, "Basic");

    // TODO: add claims
            identity.AddClaim(new Claim("Files", "Add"));

    return new GenericPrincipal(identity, new[] { "User" });
}

在我的系统中,用户可以添加文件,也可以检索、删除和更新文件,但是需要注意的是用户只能检索和修改自己的文件(其中File.UserID应与登录用户的身份匹配) .

我的文件控制器如下所示。

[Authorize]
public class FilesController : ApiController
{
    private readonly FileRepository _fileRepository = new FileRepository();

    public void Post(File file)
    {
        // not sure what to do here (...pseudo code...)
        if (!CheckClaim("Files", "Add"))
        {
            throw new HttpError(HttpStatusCode.Forbidden);
        }

        // ... add the file
        file.UserID = CurrentPrincipal.UserID; // more pseudo code...

        _fileRepository.Add(file);
    }

    public File Get(int id)
    {
        var file = _fileRepository.Get(id);

        // not sure what to do here (...pseudo code...)
        if (!CheckClaim("UserID", file.UserID))
        {
            throw new HttpError(HttpStatusCode.Forbidden);
        }

        return file;
    }
}

也许使用Claims 不是适合这项工作的工具,但希望这能说明问题。

我应该如何连接我的控制器以确保当前登录的用户有权执行特定操作,更具体地说,某些资源?

4

2 回答 2

5

我不确定索赔是否是您正在做的事情的正确方法。您真正想要表示的是权​​限。声明通常表示身份属性,例如用户名、电子邮件或它所属的角色,但不表示权限。您可以使用声明来表示权限,但您可能需要大量权限,具体取决于您的应用程序有多大。一种典型的方法是将角色映射到一组权限(在您的情况下,添加文件将是一个权限)。您还可以创建从 AuthorizeAttribute 派生的自定义授权过滤器,以检查当前主体是否具有执行操作的正确权限。该过滤器可能会接收执行操作所需的权限作为参数。

于 2013-05-02T01:59:08.633 回答
5

巴勃罗是对的——声明描述了身份。不过,您使用该身份来做出授权决定。有一个单独的抽象,称为 ClaimsAuthorizationManager。

看看这里: http: //leastprivilege.com/2012/10/26/using-claims-based-authorization-in-mvc-and-web-api/

于 2013-05-02T03:26:16.810 回答