問題タブ [authorization]

次のような状況があります: 私のアプリケーションの承認メカニズムは、Spring セキュリティを使用して実装されています。中央クラスはAccessDecisionManagerを実装し、ボーター (それぞれがAccessDecisionVoterを実装) を使用して、何らかのメソッドへのアクセスを許可するかどうかを決定します。投票を集計するアルゴリズムはカスタムです。

あるメソッドへのアクセスを拒否すると、アプリケーションのクライアントは、アクセスが拒否された理由を正確に示す有益な例外を取得することに関心があります。これは、有権者から意思決定マネージャーに情報を渡すことを意味します。残念ながら、標準のAccessDecisionVoterが意思決定マネージャーに返す唯一の情報は、可能な戻り値 ( ACCESS_GRANTED、ACCESS_ABSTAINまたはACCESS_DENIED ) の 1 つです。

それを行う最良の方法は何ですか？

ありがとう。

Active Directory フェデレーション サービス (ADFS) と承認マネージャー (AzMan) の統合をカバーする優れたスクリーンキャストまたはドキュメントを知っている人はいますか?

カスタムを使用しているWCFサービスがありますServiceAuthorizationManager。カスタム認証マネージャーは、WindowsおよびForms認証を処理するように既に設定されています。

ただし、UserNameauthに設定されているクライアントに接続すると、ユーザー名がどこにも見つからないようです。

クライアントコードは次のようになります。

次に、サーバー上にカスタム認証マネージャーがあります。

これは可能ですか？

• 設定されThread.CurrentPrincipalていません、
• operationContext.ServiceSecurityContext.PrimaryIdentity設定されていません。
• operationContext.ServiceSecurityContext.AuthorizationContext.ClaimSets空です。

user / pwdはどこでも利用できるはずですか？または、カスタムも追加する必要がありUsernamePasswordValidatorますか？

更新：カスタムUserNamePasswordValidatorとを追加しましたIAuthorizationPolicy。更新されたWCF構成は次のようになります。

これらの3つのクラスすべてにブレークポイントを設定すると、WCFは例外をスローします。

それらのいずれかが実行される前。うーん...

クライアント (この場合、クライアントはアプリケーション) が .NET 内で Web サービスを使用することを承認するにはどうすればよいですか?

例: サードパーティ アプリケーションにメソッドを呼び出してもらいたいが、ネットワーク内の他のアプリケーションがこのメソッドを呼び出せないようにしたい。

トランスポート層の承認を避け、メッセージ ベースの承認を使用したいと考えています。

ディレクトリやファイルへのアクセスを認証および制御するのに適した、メンバーシップ プロバイダーとロール プロバイダーを使用したフォーム ベースの認証を使用している ASP.Net Web フォーム アプリケーションがあります。今では、個々のエンティティ インスタンスに対する読み取り、書き込み、および削除アクセスを制御する必要があることに気付きました。たとえば、顧客のインスタンスを更新または削除できるようにするためです。これを実装する良い方法を考えようとしていますが、どこから始めればよいかわかりません。ASP.Net MVC の Authorize 属性について読みましたそして、ASP.Net MVC でアクションを制御できるようにメソッドを装飾するという、似たようなものがあるとよいと考えました。ただし、Web フォームの世界でこれを達成するためのすぐに使える方法は知りません。また、その方向に進むのに役立つフレームワークやその他のツールも知りません。既存のソリューションおよび/または独自の実装を設計する方法の両方に関して、どんな提案も大歓迎です。

ASP.NET と Flex で記述された Web ベースのアプリケーションを構築しています。私の最大の課題の 1 つは、柔軟で保守可能な方法でアプリケーションのセキュリティを実装することです。この課題は、さまざまなテクノロジーが関与する場合に複雑になります。私が持っているものを以下に説明しようとします。

Web サイトは次のように構成されています。

• /mydomain.com/
  • ログイン.aspx
  • Default.aspx (ホスト フレックス [.swf] アプリケーション)
  • /管理/
    • AddUsers.aspx
    • AddRoles.aspx
    • AddPermissions.aspx
    • 等...
  • /サービス/
    • SecurityService.asmx
    • MapService.asmx
    • PhotoService.asmx
    • 等...

現在、フォーム認証を使用して Web サイト上のリソースを保護しています。/Services/ フォルダーにないすべてのページ/リソースは、認証されたユーザーを必要とし、まだ認証されていない場合は Login.aspx にリダイレクトされます。.asmx ページは、認証されていないユーザーを許可します。これらのリソースを保護するために、SOAP メソッドで例外をスローします。これにより、私が認識している SOAP Web サービス クライアントでサポートされていない SOAP Web サービスのページをリダイレクトすることを回避できます。最後に、SecurityService.asmx には、何らかの理由で Cookie の有効期限が切れた場合に、Flex アプリケーションが Login.aspx ページにリダイレクトせずにログインできるようにする Login メソッドが含まれています。確立された Cookie は、Flex アプリケーションからの要求を含め、サーバーへのすべての要求と共に送信されるため、これはかなりうまく機能しているようです。

ただし、これは依然として、Web サービスを保護するための悪いアプローチのように感じられます。意図されていない目的でフォーム認証を使用しているように感じます。具体的には、次の点が懸念されます。

• このモデルは、サービスがコア Web サイトから分離されている場合には機能しません。これは新たに発見された要件であり、フォーム認証は、さらに多くの変更やトリックを行わなければ (まったく機能しないとしても) うまく機能しないと私は信じています。
• Flex 以外のクライアントは、サービスへのアクセスを必要とする場合があります。これらのクライアントの中には、Cookie を使用できないものもあります。もしそうなら、このモデルはすぐにバラバラになります。これは当面の要件ではありませんが、長期的な目標の 1 つであることがわかっています。
• 最終的には (願わくば遅かれ早かれ) REST ベースのアーキテクチャ (対 SOAP) に移行する予定なので、どのソリューションも SOAP と REST で機能する必要があります。

それで、私の質問はです。

ASP.NET、Flex、および SOAP または REST Web サービス上に構築されたアプリケーションを保護するための最適な認証および承認メカニズムは何ですか?

注: 私は積極的に OAuth を検討しています。ただし、学習する完全な例を見つけるのに苦労しています。さらに、ユーザーが持っているアクセス許可に基づいて、特定のユーザーに対して返されたデータをフィルター処理できる必要があります。OAuth はトークンからユーザーの ID を削除するようです。そのため、きめ細かいセキュリティ モデルで OAuth がどのように適用されるかはわかりません。

ユーザー ログイン機能は、多くのアプリケーションで非常に一般的です。オブジェクト指向の方法でこの機能を実装する方法を知りたいです。

ユーザーがいて、システム (ldap、データベースなど) に対して userId とパスワードを検証する必要があります。では、この機能を実現するには、どのような種類のクラスと操作を作成するのでしょうか?

それとも、OO はこの機能を開発するための悪い選択ですか?

新しいプロジェクトを始めようとしているので、良い選択肢を集めたい.

このソリューションを提供するフレームワークが既にあることは知っています。以前のプロジェクトでそれらを使用しました。私が見ようとしていたのは、人々がこれをOOの方法でどのように実装するかです。

私は答えを読み、誰もが別の資格情報と認証サービスを提案しました。Credentials の代わりにクラス名を User として使用する場合、User クラスには login というメソッドが必要ではないでしょうか? Person オブジェクトが DrinkService の代わりに Drink メソッドを持つように、またはこれを正しく理解するのが間違っていますか?