Postupy: Vytvoření vlastních zásad autorizace

Infrastruktura modelu identity ve Službě Windows Communication Foundation (WCF) podporuje autorizační model založený na deklarací identity. Tvrzení jsou extrahována z tokenů, volitelně zpracována vlastními zásadami autorizace, a pak jsou umístěna do AuthorizationContext, které mohou být poté zkoumány pro účely rozhodování o autorizaci. Vlastní zásady lze použít k transformaci deklarací identity z příchozích tokenů na deklarace očekávané aplikací. Tímto způsobem lze aplikační vrstvu izolovat od podrobností týkajících se různých deklarací identity zpracovaných různými typy tokenů, které WCF podporuje. Toto téma ukazuje, jak implementovat vlastní zásady autorizace a jak tuto zásadu přidat do kolekce zásad používaných službou.

Pro implementaci vlastních zásad autorizace

1. Definujte novou třídu, která je odvozena od IAuthorizationPolicy.

2. Vlastnost jen pro čtení Id implementujte tak, že při konstrukci třídy vygenerujete jedinečný řetězec a tento řetězec se vrátí pokaždé, když je k této vlastnosti přistupováno.

3. Implementujte vlastnost Issuer jen pro čtení vrácením ClaimSet, která představuje vystavitele zásad. Může se jednat o ClaimSet představující aplikaci nebo předdefinované ClaimSet (například ClaimSet vrácené statickou vlastností System.

4. Implementujte metodu Evaluate(EvaluationContext, Object), jak je popsáno v následujícím postupu.

Implementace metody Evaluate

1. Této metodě jsou předány dva parametry: instance třídy EvaluationContext a odkaz na objekt.

2. Pokud vlastní zásady autorizace přidávají ClaimSet instance bez ohledu na aktuální obsah EvaluationContext, přidejte každou ClaimSet zavoláním metody AddClaimSet(IAuthorizationPolicy, ClaimSet) a vraťte true z metody Evaluate. Vrácení true indikuje autorizační infrastruktuře, že zásady autorizace provedly svou práci a není nutné ji znovu volat.

3. Pokud vlastní zásady autorizace přidávají sady nároků pouze v případě, že některé nároky již existují v EvaluationContext, vyhledejte tyto nároky prozkoumáním instancí ClaimSet, které vrací vlastnost ClaimSets. Pokud jsou přítomny deklarace, přidejte nové sady deklarací voláním metody AddClaimSet(IAuthorizationPolicy, ClaimSet) a pokud nebudou přidány žádné další sady deklarací, vraťte true, čímž informujete autorizační infrastrukturu, že zásady autorizace dokončily svůj úkol. Pokud deklarace identity nejsou k dispozici, vraťte falseoznačující, že zásady autorizace by se měly znovu volat, pokud jiné zásady autorizace přidávají do EvaluationContextdalší sady deklarací identity .

4. Ve složitějších scénářích zpracování se druhý parametr metody Evaluate(EvaluationContext, Object) používá k uložení stavové proměnné, kterou autorizační infrastruktura předá při každém následném volání metody Evaluate(EvaluationContext, Object) pro konkrétní vyhodnocení.

Určení vlastních zásad autorizace prostřednictvím konfigurace

1. Zadejte typ vlastní zásady autorizace v atributu policyType v elementu add v elementu authorizationPolicies v elementu serviceAuthorization.

   <configuration>  
    <system.serviceModel>  
     <behaviors>  
       <serviceAuthorization serviceAuthorizationManagerType=  
                 "Samples.MyServiceAuthorizationManager" >  
         <authorizationPolicies>  
           <add policyType="Samples.MyAuthorizationPolicy" />  
         </authorizationPolicies>  
       </serviceAuthorization>  
     </behaviors>  
    </system.serviceModel>  
   </configuration>  
   

Určení vlastních zásad autorizace prostřednictvím kódu

1. Vytvořte List<T>IAuthorizationPolicy.

2. Vytvořte instanci vlastní zásady autorizace.

3. Přidejte instanci zásad autorizace do seznamu.

4. Opakujte kroky 2 a 3 pro každou vlastní zásadu autorizace.

5. Přiřaďte vlastnost ExternalAuthorizationPolicies verzi seznamu určenou jen pro čtení.

   // Add a custom authorization policy to the service authorization behavior.
   List<IAuthorizationPolicy> policies = new List<IAuthorizationPolicy>();
   policies.Add(new MyAuthorizationPolicy());
   serviceHost.Authorization.ExternalAuthorizationPolicies = policies.AsReadOnly();
   

   ' Add custom authorization policy to service authorization behavior.
   Dim policies As List(Of IAuthorizationPolicy) = New List(Of IAuthorizationPolicy)()
   policies.Add(New MyAuthorizationPolicy())
   serviceHost.Authorization.ExternalAuthorizationPolicies = policies.AsReadOnly()
   

Příklad

Následující příklad ukazuje úplnou IAuthorizationPolicy implementaci.

public class MyAuthorizationPolicy : IAuthorizationPolicy
{
    string id;

    public MyAuthorizationPolicy()
    {
        id = Guid.NewGuid().ToString();
    }

    public bool Evaluate(EvaluationContext evaluationContext, ref object state)
    {
        bool bRet = false;
        CustomAuthState customstate = null;

        // If the state is null, then this has not been called before so
        // set up a custom state.
        if (state == null)
        {
            customstate = new CustomAuthState();
            state = customstate;
        }
        else
        {
            customstate = (CustomAuthState)state;
        }

        // If claims have not been added yet...
        if (!customstate.ClaimsAdded)
        {
            // Create an empty list of claims.
            IList<Claim> claims = new List<Claim>();

            // Iterate through each of the claim sets in the evaluation context.
            foreach (ClaimSet cs in evaluationContext.ClaimSets)
                // Look for Name claims in the current claimset.
                foreach (Claim c in cs.FindClaims(ClaimTypes.Name, Rights.PossessProperty))
                    // Get the list of operations the given username is allowed to call.
                    foreach (string s in GetAllowedOpList(c.Resource.ToString()))
                    {
                        // Add claims to the list.
                        claims.Add(new Claim("http://example.org/claims/allowedoperation", s, Rights.PossessProperty));
                        Console.WriteLine($"Claim added {s}");
                    }

            // Add claims to the evaluation context.
            evaluationContext.AddClaimSet(this, new DefaultClaimSet(this.Issuer, claims));

            // Record that claims were added.
            customstate.ClaimsAdded = true;

            // Return true, indicating that this method does not need to be called again.
            bRet = true;
        }
        else
        {
            // Should never get here, but just in case, return true.
            bRet = true;
        }

        return bRet;
    }

    public ClaimSet Issuer
    {
        get { return ClaimSet.System; }
    }

    public string Id
    {
        get { return id; }
    }

    // This method returns a collection of action strings that indicate the
    // operations the specified username is allowed to call.
    private IEnumerable<string> GetAllowedOpList(string username)
    {
        IList<string> ret = new List<string>();

        if (username == "test1")
        {
            ret.Add("http://Microsoft.ServiceModel.Samples/ICalculator/Add");
            ret.Add("http://Microsoft.ServiceModel.Samples/ICalculator/Multiply");
            ret.Add("http://Microsoft.ServiceModel.Samples/ICalculator/Subtract");
        }
        else if (username == "test2")
        {
            ret.Add("http://Microsoft.ServiceModel.Samples/ICalculator/Add");
            ret.Add("http://Microsoft.ServiceModel.Samples/ICalculator/Subtract");
        }
        return ret;
    }

    // Internal class for keeping track of state.
    class CustomAuthState
    {
        bool bClaimsAdded;

        public CustomAuthState()
        {
            bClaimsAdded = false;
        }

        public bool ClaimsAdded
        {
            get { return bClaimsAdded; }
            set { bClaimsAdded = value; }
        }
    }
}

Public Class MyAuthorizationPolicy
    Implements IAuthorizationPolicy
    Private id_Value As String


    Public Sub New()
        id_Value = Guid.NewGuid().ToString()

    End Sub


    Public Function Evaluate(ByVal evaluationContext As EvaluationContext, ByRef state As Object) As Boolean _
        Implements IAuthorizationPolicy.Evaluate
        Dim bRet As Boolean = False
        Dim customstate As CustomAuthState = Nothing

        ' If the state is null, then this has not been called before, so set up
        ' our custom state.
        If state Is Nothing Then
            customstate = New CustomAuthState()
            state = customstate
        Else
            customstate = CType(state, CustomAuthState)
        End If
        ' If claims have not been added yet...
        If Not customstate.ClaimsAdded Then
            ' Create an empty list of Claims.
            Dim claims as IList(Of Claim) = New List(Of Claim)()

            ' Iterate through each of the claimsets in the evaluation context.
            Dim cs As ClaimSet
            For Each cs In evaluationContext.ClaimSets
                ' Look for Name claims in the current claimset...
                Dim c As Claim
                For Each c In cs.FindClaims(ClaimTypes.Name, Rights.PossessProperty)
                    ' Get the list of operations that the given username is allowed to call.
                    Dim s As String
                    For Each s In GetAllowedOpList(c.Resource.ToString())
                        ' Add claims to the list.
                        claims.Add(New Claim("http://example.org/claims/allowedoperation", s, Rights.PossessProperty))
                        Console.WriteLine("Claim added {0}", s)
                    Next s
                Next c
            Next cs ' Add claims to the evaluation context.
            evaluationContext.AddClaimSet(Me, New DefaultClaimSet(Me.Issuer, claims))

            ' Record that claims were added.
            customstate.ClaimsAdded = True

            ' Return true, indicating that this does not need to be called again.
            bRet = True
        Else
            ' Should never get here, but just in case...
            bRet = True
        End If


        Return bRet

    End Function

    Public ReadOnly Property Issuer() As ClaimSet Implements IAuthorizationPolicy.Issuer
        Get
            Return ClaimSet.System
        End Get
    End Property

    Public ReadOnly Property Id() As String Implements IAuthorizationPolicy.Id
        Get
            Return id_Value
        End Get
    End Property
    ' This method returns a collection of action strings that indicate the
    ' operations the specified username is allowed to call.

    ' Operations the specified username is allowed to call.
    Private Function GetAllowedOpList(ByVal userName As String) As IEnumerable(Of String)
        Dim ret As IList(Of String) = new List(Of String)()
        If username = "test1" Then
            ret.Add("http://Microsoft.ServiceModel.Samples/ICalculator/Add")
            ret.Add("http://Microsoft.ServiceModel.Samples/ICalculator/Multiply")
            ret.Add("http://Microsoft.ServiceModel.Samples/ICalculator/Subtract")
        ElseIf username = "test2" Then
            ret.Add("http://Microsoft.ServiceModel.Samples/ICalculator/Add")
            ret.Add("http://Microsoft.ServiceModel.Samples/ICalculator/Subtract")
        End If
        Return ret
    End Function

    ' internal class for keeping track of state

    Class CustomAuthState
        Private bClaimsAdded As Boolean


        Public Sub New()
            bClaimsAdded = False

        End Sub


        Public Property ClaimsAdded() As Boolean
            Get
                Return bClaimsAdded
            End Get
            Set
                bClaimsAdded = value
            End Set
        End Property
    End Class
End Class

Viz také

• ServiceAuthorizationManager
• Jak porovnávat nároky
• Postupy: Vytvoření vlastního správce autorizace pro službu
• Zásady autorizace