3
我們的CMS實現了自己的基於角色的內容管理訪問控制,不像其他所有CMSs那樣;)我最近一直在嘗試實現將此訪問控制擴展到我們的Web服務API中,並最終確定哪些用戶可以訪問哪些方法。基於自定義角色的Web服務訪問
有沒有人執行過這樣的事情,或者知道我可能會研究的任何優秀資源,以便讓它在上面滾動。
我們的發展是在.NET 2.0完全完成,但是如果在另一種語言中存在的原則,我歡迎它:)
A
回答
0
實施基於角色的安全性時,我發現您首先必須確定特定用戶可能執行的操作。一旦你有了這些,你可以將它們綁在一起成爲角色;並隨意改變它們。
將每個Web方法調用視爲需要一個或多個操作。每種方法都應該接受用戶名/密碼或令牌。該方法將對您的數據庫或其他存儲機制進行一次調用,以確定所標識的用戶是否確實具有分配給他們的所需操作。然後,如果一切順利,請執行該方法的其餘部分。
實際上並不複雜而且非常靈活。
1
定製SOAP授權頭可能是最標準的.NET 2.0的方式來做到這一點,請參閱專家交流this article,它給出了一個非常簡單的實現。
基本上,您定義了一個SOAP標頭,它在每次服務調用時都傳遞用戶名和密碼。該服務可以訪問憑證,並可以進行任何需要的角色查找/授權檢查,並返回相應的響應。用戶名和密碼可以來自Windows,或者可以在運行時從客戶端的配置等插入。
0
對於我們的業務,我們實施了其他Web服務連接的安全Web服務,以驗證調用它們的客戶。它基於應用程序用戶名,密碼,認證碼和訪問級別。消費者提供除訪問級別以外的所有信息。這是由自己調用的方法提供的。身份驗證碼是一個時間敏感的代碼,由消費者計算並由安全服務進行驗證,僅適用於時間窗口。一個自定義的SOAP Authorization Header可用於傳遞大量的這些信息,或者您可以在方法調用中傳遞它。
每個應用程序的訪問權限可以按照每個方法設置用戶,也可以設置爲粒度較小的讀/寫/更新/刪除/所有級別。
Web Site (App Username, Password, Authentication Code) --->
Web Service (App Username, Password, Authentication Code, Access Level) -->
Security Web Service (Returns True/False)
希望這有些道理!
相關問題
- 1. 基於角色的訪問
- 2. 基於角色的應用服務器訪問控制1
- 3. 訪問外部Web服務的Azure Web角色問題
- 4. 自定義角色提供web服務中
- 5. Yii基於角色的訪問控制
- 6. 基於角色的控制器訪問
- 7. 基於角色的訪問控制
- 8. yii2中基於角色的訪問
- 9. Django:基於角色的訪問控制
- 10. 基於角色的訪問控制
- 11. 基於角色的訪問方法
- 12. 角色定義的訪問和動態角色定義
- 13. 針對一個Web服務的基於角色的方法?
- 14. 授予訪問基於角色名
- 15. DISCO的角色 - Web服務
- 16. Symfony - 從自定義類訪問服務
- 17. ASP.NET核心自定義基於角色的授權(自定義User.IsInRole)?
- 18. 我可以在Azure WCF服務Web角色中訪問ServiceEndpoint嗎?
- 19. 定義自定義角色
- 20. 定義對設計用戶模型的基於角色的訪問
- 21. ASP.NET身份自定義與基於組的角色
- 22. 基於Windows身份驗證憑據的MVC自定義角色
- 23. 基於自定義角色的身份驗證
- 24. 問題的自定義角色提供
- 25. .NET Compact Framework - 基於Cookie的Web服務訪問
- 26. 保護Web API基於角色的
- 27. yii2重定向基於訪問角色更改密碼頁
- 28. 訪問Web服務
- 29. 如何訪問特定SharePoint列表Web服務的服務定義?
- 30. 在Android中接收基於SOAP的.NET Web服務的自定義對象