Partager via


Procédure : Créer un attribut d'autorisation personnalisé

Cette rubrique montre comment ajouter un attribut personnalisé pour l'autorisation. L'infrastructure des Services RIA WCF fournit les attributs RequiresAuthenticationAttribute et RequiresRoleAttribute. Ces attributs vous permettent de spécifier facilement les opérations de domaine disponibles uniquement aux utilisateurs authentifiés ou aux utilisateurs d'un rôle particulier. En plus des ces deux attributs, vous pouvez créer un attribut qui représente une logique d'autorisation personnalisée, puis appliquer cet attribut aux opérations de domaine.

Quand vous exposez un service de domaine, celui-ci est disponible à tout le monde sur le réseau. Vous ne pouvez pas supposer que votre application cliente sera la seule à accéder au service de domaine. Vous pouvez utiliser des attributs d'authentification personnalisés pour limiter l'accès aux opérations de domaine même si l'opération de domaine est accessible en dehors de votre application cliente.

Dans cette rubrique, vous allez créer un attribut d'autorisation personnalisé en créant une classe qui dérive de AuthorizationAttribute et en substituant la méthode IsAuthorized pour fournir votre logique personnalisée. Vous pouvez utiliser le paramètre IPrincipal et le paramètre AuthorizationContext pour accéder aux informations d'accès exigées, le cas échéant, par votre code d'authentification personnalisé. L'objet AuthorizationContext est Null sur les opérations de requête.

Pour créer un attribut d'autorisation personnalisé

  1. Dans le projet serveur, créez une classe qui dérive de AuthorizationAttribute.

  2. Substituez la méthode IsAuthorized et ajoutez la logique de détermination de l'autorisation.

    L'exemple suivant montre un attribut personnalisé nommé RestrictAccessToAssignedManagers qui vérifie si l'utilisateur authentifié est le directeur de l'employé dont l'enregistrement EmployeePayHistory est modifié.

    Public Class RestrictAccessToAssignedManagers
        Inherits AuthorizationAttribute
    
        Protected Overrides Function IsAuthorized(ByVal principal As System.Security.Principal.IPrincipal, ByVal authorizationContext As System.ComponentModel.DataAnnotations.AuthorizationContext) As System.ComponentModel.DataAnnotations.AuthorizationResult
            Dim eph As EmployeePayHistory
            Dim selectedEmployee As Employee
            Dim authenticatedUser As Employee
    
            eph = CType(authorizationContext.Instance, EmployeePayHistory)
    
            Using context As New AdventureWorksEntities()
                selectedEmployee = context.Employees.SingleOrDefault(Function(e) e.EmployeeID = eph.EmployeeID)
                authenticatedUser = context.Employees.SingleOrDefault(Function(e) e.LoginID = principal.Identity.Name)
            End Using
    
            If (selectedEmployee.ManagerID = authenticatedUser.EmployeeID) Then
                Return AuthorizationResult.Allowed
            Else
                Return New AuthorizationResult("Only the authenticated manager for the employee can add a new record.")
            End If
        End Function
    End Class
    
    public class RestrictAccessToAssignedManagers : AuthorizationAttribute
    {
        protected override AuthorizationResult IsAuthorized(System.Security.Principal.IPrincipal principal, AuthorizationContext authorizationContext)
        {
            EmployeePayHistory eph = (EmployeePayHistory)authorizationContext.Instance;
            Employee selectedEmployee;
            Employee authenticatedUser;
    
            using (AdventureWorksEntities context = new AdventureWorksEntities())
            {
                selectedEmployee = context.Employees.SingleOrDefault(e => e.EmployeeID == eph.EmployeeID);
                authenticatedUser = context.Employees.SingleOrDefault(e => e.LoginID == principal.Identity.Name);
            }
    
            if (selectedEmployee.ManagerID == authenticatedUser.EmployeeID)
            {
                return AuthorizationResult.Allowed;
            }
            else
            {
                return new AuthorizationResult("Only the authenticated manager for the employee can add a new record.");
            }
        }
    }
    
  3. Pour effectuer la logique d'autorisation personnalisée, appliquez l'attribut d'autorisation personnalisé à l'opération de domaine.

    L'exemple suivant montre l'attribut RestrictAccessToAssignedManagers appliqué à une opération de domaine.

    <RestrictAccessToAssignedManagers()> _
    Public Sub InsertEmployeePayHistory(ByVal employeePayHistory As EmployeePayHistory)
        If ((employeePayHistory.EntityState = EntityState.Detached) _
                    = False) Then
            Me.ObjectContext.ObjectStateManager.ChangeObjectState(employeePayHistory, EntityState.Added)
        Else
            Me.ObjectContext.EmployeePayHistories.AddObject(employeePayHistory)
        End If
    End Sub
    
    [RestrictAccessToAssignedManagers]
    public void InsertEmployeePayHistory(EmployeePayHistory employeePayHistory)
    {
        if ((employeePayHistory.EntityState != EntityState.Detached))
        {
            this.ObjectContext.ObjectStateManager.ChangeObjectState(employeePayHistory, EntityState.Added);
        }
        else
        {
            this.ObjectContext.EmployeePayHistories.AddObject(employeePayHistory);
        }
    }