Udostępnij za pośrednictwem


Instrukcje: Tworzenie niestandardowych zasad autoryzacji

Infrastruktura modelu tożsamości w programie Windows Communication Foundation (WCF) obsługuje model autoryzacji oparty na oświadczeniach. Oświadczenia są wyodrębniane z tokenów, opcjonalnie przetwarzane przez niestandardowe zasady autoryzacji, a następnie umieszczane w obiekcie AuthorizationContext , które można następnie zbadać w celu podejmowania decyzji dotyczących autoryzacji. Zasady niestandardowe mogą służyć do przekształcania oświadczeń z tokenów przychodzących na oświadczenia oczekiwane przez aplikację. W ten sposób warstwa aplikacji może być odizolowana od szczegółów różnych oświadczeń obsługiwanych przez różne typy tokenów obsługiwane przez program WCF. W tym temacie przedstawiono sposób implementowania niestandardowych zasad autoryzacji oraz sposobu dodawania tych zasad do kolekcji zasad używanych przez usługę.

Aby zaimplementować niestandardowe zasady autoryzacji

  1. Zdefiniuj nową klasę, która pochodzi z klasy IAuthorizationPolicy.

  2. Zaimplementuj właściwość tylko Id do odczytu, generując unikatowy ciąg w konstruktorze dla klasy i zwracając ten ciąg za każdym razem, gdy uzyskuje się dostęp do właściwości.

  3. Zaimplementuj właściwość tylko Issuer do odczytu, zwracając element ClaimSet reprezentujący wystawcę zasad. Może to być element ClaimSet reprezentujący aplikację lub wbudowany element ClaimSet (na przykład ClaimSet zwrócony przez właściwość statyczną System .

  4. Zaimplementuj metodę Evaluate(EvaluationContext, Object) zgodnie z opisem w poniższej procedurze.

Aby zaimplementować metodę Evaluate

  1. Dwa parametry są przekazywane do tej metody: wystąpienie EvaluationContext klasy i odwołanie do obiektu.

  2. Jeśli niestandardowe zasady autoryzacji dodają ClaimSet wystąpienia bez względu na bieżącą zawartość EvaluationContextelementu , dodaj je ClaimSet , wywołując metodę AddClaimSet(IAuthorizationPolicy, ClaimSet) i zwracając true z Evaluate metody . Zwracanie true wskazuje na infrastrukturę autoryzacji, że zasady autoryzacji wykonały swoją pracę i nie muszą być wywoływane ponownie.

  3. Jeśli niestandardowe zasady autoryzacji dodają zestawy oświadczeń tylko wtedy, gdy niektóre oświadczenia są już obecne w EvaluationContextobiekcie , poszukaj tych oświadczeń, sprawdzając ClaimSet wystąpienia zwrócone przez ClaimSets właściwość. Jeśli oświadczenia są obecne, dodaj nowe zestawy oświadczeń, wywołując metodę AddClaimSet(IAuthorizationPolicy, ClaimSet) i, jeśli nie zostaną dodane żadne zestawy oświadczeń, zwróć wartość true, wskazując na infrastrukturę autoryzacji, że zasady autoryzacji zakończyły swoją pracę. Jeśli oświadczenia nie są obecne, zwróć wartość false, wskazując, że zasady autoryzacji powinny być wywoływane ponownie, jeśli inne zasady autoryzacji dodają więcej zestawów oświadczeń do .EvaluationContext

  4. W bardziej złożonych scenariuszach przetwarzania drugi parametr Evaluate(EvaluationContext, Object) metody jest używany do przechowywania zmiennej stanu, którą infrastruktura autoryzacji przejdzie z powrotem podczas każdego kolejnego wywołania Evaluate(EvaluationContext, Object) metody dla określonej oceny.

Aby określić niestandardowe zasady autoryzacji za pomocą konfiguracji

  1. Określ typ niestandardowych zasad autoryzacji w atrybucie policyType w add elemecie w authorizationPolicies elemecie w elemecie serviceAuthorization .

    <configuration>  
     <system.serviceModel>  
      <behaviors>  
        <serviceAuthorization serviceAuthorizationManagerType=  
                  "Samples.MyServiceAuthorizationManager" >  
          <authorizationPolicies>  
            <add policyType="Samples.MyAuthorizationPolicy" />  
          </authorizationPolicies>  
        </serviceAuthorization>  
      </behaviors>  
     </system.serviceModel>  
    </configuration>  
    

Aby określić niestandardowe zasady autoryzacji za pomocą kodu

  1. Utwórz element List<T> z .IAuthorizationPolicy

  2. Utwórz wystąpienie niestandardowych zasad autoryzacji.

  3. Dodaj wystąpienie zasad autoryzacji do listy.

  4. Powtórz kroki 2 i 3 dla każdej niestandardowej zasady autoryzacji.

  5. Przypisz do właściwości wersję listy tylko do ExternalAuthorizationPolicies odczytu.

    // Add a custom authorization policy to the service authorization behavior.
    List<IAuthorizationPolicy> policies = new List<IAuthorizationPolicy>();
    policies.Add(new MyAuthorizationPolicy());
    serviceHost.Authorization.ExternalAuthorizationPolicies = policies.AsReadOnly();
    
    ' Add custom authorization policy to service authorization behavior.
    Dim policies As List(Of IAuthorizationPolicy) = New List(Of IAuthorizationPolicy)()
    policies.Add(New MyAuthorizationPolicy())
    serviceHost.Authorization.ExternalAuthorizationPolicies = policies.AsReadOnly()
    

Przykład

Poniższy przykład przedstawia kompletną IAuthorizationPolicy implementację.

public class MyAuthorizationPolicy : IAuthorizationPolicy
{
    string id;

    public MyAuthorizationPolicy()
    {
        id = Guid.NewGuid().ToString();
    }

    public bool Evaluate(EvaluationContext evaluationContext, ref object state)
    {
        bool bRet = false;
        CustomAuthState customstate = null;

        // If the state is null, then this has not been called before so
        // set up a custom state.
        if (state == null)
        {
            customstate = new CustomAuthState();
            state = customstate;
        }
        else
        {
            customstate = (CustomAuthState)state;
        }

        // If claims have not been added yet...
        if (!customstate.ClaimsAdded)
        {
            // Create an empty list of claims.
            IList<Claim> claims = new List<Claim>();

            // Iterate through each of the claim sets in the evaluation context.
            foreach (ClaimSet cs in evaluationContext.ClaimSets)
                // Look for Name claims in the current claimset.
                foreach (Claim c in cs.FindClaims(ClaimTypes.Name, Rights.PossessProperty))
                    // Get the list of operations the given username is allowed to call.
                    foreach (string s in GetAllowedOpList(c.Resource.ToString()))
                    {
                        // Add claims to the list.
                        claims.Add(new Claim("http://example.org/claims/allowedoperation", s, Rights.PossessProperty));
                        Console.WriteLine("Claim added {0}", s);
                    }

            // Add claims to the evaluation context.
            evaluationContext.AddClaimSet(this, new DefaultClaimSet(this.Issuer, claims));

            // Record that claims were added.
            customstate.ClaimsAdded = true;

            // Return true, indicating that this method does not need to be called again.
            bRet = true;
        }
        else
        {
            // Should never get here, but just in case, return true.
            bRet = true;
        }

        return bRet;
    }

    public ClaimSet Issuer
    {
        get { return ClaimSet.System; }
    }

    public string Id
    {
        get { return id; }
    }

    // This method returns a collection of action strings that indicate the
    // operations the specified username is allowed to call.
    private IEnumerable<string> GetAllowedOpList(string username)
    {
        IList<string> ret = new List<string>();

        if (username == "test1")
        {
            ret.Add("http://Microsoft.ServiceModel.Samples/ICalculator/Add");
            ret.Add("http://Microsoft.ServiceModel.Samples/ICalculator/Multiply");
            ret.Add("http://Microsoft.ServiceModel.Samples/ICalculator/Subtract");
        }
        else if (username == "test2")
        {
            ret.Add("http://Microsoft.ServiceModel.Samples/ICalculator/Add");
            ret.Add("http://Microsoft.ServiceModel.Samples/ICalculator/Subtract");
        }
        return ret;
    }

    // Internal class for keeping track of state.
    class CustomAuthState
    {
        bool bClaimsAdded;

        public CustomAuthState()
        {
            bClaimsAdded = false;
        }

        public bool ClaimsAdded
        {
            get { return bClaimsAdded; }
            set { bClaimsAdded = value; }
        }
    }
}

Public Class MyAuthorizationPolicy
    Implements IAuthorizationPolicy
    Private id_Value As String


    Public Sub New()
        id_Value = Guid.NewGuid().ToString()

    End Sub


    Public Function Evaluate(ByVal evaluationContext As EvaluationContext, ByRef state As Object) As Boolean _
        Implements IAuthorizationPolicy.Evaluate
        Dim bRet As Boolean = False
        Dim customstate As CustomAuthState = Nothing

        ' If the state is null, then this has not been called before, so set up
        ' our custom state.
        If state Is Nothing Then
            customstate = New CustomAuthState()
            state = customstate
        Else
            customstate = CType(state, CustomAuthState)
        End If
        ' If claims have not been added yet...
        If Not customstate.ClaimsAdded Then
            ' Create an empty list of Claims.
            Dim claims as IList(Of Claim) = New List(Of Claim)()

            ' Iterate through each of the claimsets in the evaluation context.
            Dim cs As ClaimSet
            For Each cs In evaluationContext.ClaimSets
                ' Look for Name claims in the current claimset...
                Dim c As Claim
                For Each c In cs.FindClaims(ClaimTypes.Name, Rights.PossessProperty)
                    ' Get the list of operations that the given username is allowed to call.
                    Dim s As String
                    For Each s In GetAllowedOpList(c.Resource.ToString())
                        ' Add claims to the list.
                        claims.Add(New Claim("http://example.org/claims/allowedoperation", s, Rights.PossessProperty))
                        Console.WriteLine("Claim added {0}", s)
                    Next s
                Next c
            Next cs ' Add claims to the evaluation context.
            evaluationContext.AddClaimSet(Me, New DefaultClaimSet(Me.Issuer, claims))

            ' Record that claims were added.
            customstate.ClaimsAdded = True

            ' Return true, indicating that this does not need to be called again.
            bRet = True
        Else
            ' Should never get here, but just in case...
            bRet = True
        End If


        Return bRet

    End Function

    Public ReadOnly Property Issuer() As ClaimSet Implements IAuthorizationPolicy.Issuer
        Get
            Return ClaimSet.System
        End Get
    End Property

    Public ReadOnly Property Id() As String Implements IAuthorizationPolicy.Id
        Get
            Return id_Value
        End Get
    End Property
    ' This method returns a collection of action strings that indicate the
    ' operations the specified username is allowed to call.

    ' Operations the specified username is allowed to call.
    Private Function GetAllowedOpList(ByVal userName As String) As IEnumerable(Of String)
        Dim ret As IList(Of String) = new List(Of String)()
        If username = "test1" Then
            ret.Add("http://Microsoft.ServiceModel.Samples/ICalculator/Add")
            ret.Add("http://Microsoft.ServiceModel.Samples/ICalculator/Multiply")
            ret.Add("http://Microsoft.ServiceModel.Samples/ICalculator/Subtract")
        ElseIf username = "test2" Then
            ret.Add("http://Microsoft.ServiceModel.Samples/ICalculator/Add")
            ret.Add("http://Microsoft.ServiceModel.Samples/ICalculator/Subtract")
        End If
        Return ret
    End Function

    ' internal class for keeping track of state

    Class CustomAuthState
        Private bClaimsAdded As Boolean


        Public Sub New()
            bClaimsAdded = False

        End Sub


        Public Property ClaimsAdded() As Boolean
            Get
                Return bClaimsAdded
            End Get
            Set
                bClaimsAdded = value
            End Set
        End Property
    End Class
End Class

Zobacz też