Gil*_*rdo 6 .net c# asp.net permissions claims-based-identity
我在验证用户时使用.net声明主体.在我们的系统中,用户具有多个权限(最多可以为70).
现在,用户不是在每个请求上查询数据库,而是认为将权限存储为声明是好的.我试图将每个权限存储为单独的声明,但即使获得10个权限也会大大增加令牌的大小.
因此,我没有在1个权限中添加1个权限,我想知道如果我将所有权限添加到1个权限中,它是否会有所不同,而且确实如此.它保持令牌的大小很小,但我有我需要的权限.
现在要做到这一点,我必须将我的所有权限从数组转换为JSON字符串,然后将它们保存为我的声明.为了获得声明,我可以将字符串反序列化为一个数组,我根本不必查询数据库.
这样做可以,或者这是非常糟糕的做法?我是在制作一颗滴答作响的定时炸弹吗?这样做会很快爆炸吗?
这里的示例代码
var identity = new ClaimsIdentity(context.Options.AuthenticationType);
identity.AddClaim(new Claim(ClaimTypes.Name, context.UserName));
// get user permissions
var permissions = await _permissionService.GetAllAsync(user);
// create list of all permissions
List<object> claimPermissions = new List<object>();
foreach (var item in permissions)
{
claimPermissions.Add(new
{
Action = item.Action,
Type = item.Type
});
}
// convert list to json
var json = Newtonsoft.Json.JsonConvert.SerializeObject(claimPermissions);
// add claim
identity.AddClaim(new Claim("Permissions", json));
小智 -2
System.Security.Claims.ClaimTypes 类中有大多数常用 ClaimType 的标准列表,我建议您将它们添加为单独的声明。之后,所有剩余的声明都可以添加为 UserData。我不知道为什么你的应用程序有高达70个权限?当您设计基础架构时,明智的做法是使用最佳实践,即使用基于角色的授权。它让事情变得更容易。请记住这些都是经过尝试和测试的方法。Windows Azure Active Directory 具有相同的设计,但它可以处理任何身份验证和授权场景。
如果您需要有关如何使用 Json Web 令牌来实现此类身份验证机制的更多信息,请参阅我关于该主题的文章(此处)。
给定 Jwt,以下是检查用户是否具有权限的方法。
private static ClaimsPrincipal ValidateToken(string token, string secret, bool checkExpiration)
{
var jsonSerializer = new JavaScriptSerializer();
var payloadJson = JsonWebToken.Decode(token, secret);
var payloadData = jsonSerializer.Deserialize<Dictionary<string, object>>(payloadJson);
object exp;
if (payloadData != null && (checkExpiration && payloadData.TryGetValue("exp", out exp)))
{
var validTo = FromUnixTime(long.Parse(exp.ToString()));
if (DateTime.Compare(validTo, DateTime.UtcNow) <= 0)
{
throw new Exception(
string.Format("Token is expired. Expiration: '{0}'. Current: '{1}'", validTo, DateTime.UtcNow));
}
}
var subject = new ClaimsIdentity("Federation", ClaimTypes.Name, ClaimTypes.Role);
var claims = new List<Claim>();
if (payloadData != null)
foreach (var pair in payloadData)
{
var claimType = pair.Key;
var source = pair.Value as ArrayList;
if (source != null)
{
claims.AddRange(from object item in source
select new Claim(claimType, item.ToString(), ClaimValueTypes.String));
continue;
}
switch (pair.Key)
{
case "name":
claims.Add(new Claim(ClaimTypes.Name, pair.Value.ToString(), ClaimValueTypes.String));
break;
case "surname":
claims.Add(new Claim(ClaimTypes.Surname, pair.Value.ToString(), ClaimValueTypes.String));
break;
case "email":
claims.Add(new Claim(ClaimTypes.Email, pair.Value.ToString(), ClaimValueTypes.Email));
break;
case "role":
claims.Add(new Claim(ClaimTypes.Role, pair.Value.ToString(), ClaimValueTypes.String));
break;
case "userId":
claims.Add(new Claim(ClaimTypes.UserData, pair.Value.ToString(), ClaimValueTypes.Integer));
break;
default:
claims.Add(new Claim(claimType, pair.Value.ToString(), ClaimValueTypes.String));
break;
}
}
subject.AddClaims(claims);
return new ClaimsPrincipal(subject);
}
我希望这有帮助
谢谢
斯图尔特
| 归档时间: |
|
| 查看次数: |
3559 次 |
| 最近记录: |