ServiceAuthorizationManager.CheckAccess Метод
Определение
Важно!
Некоторые сведения относятся к предварительной версии продукта, в которую до выпуска могут быть внесены существенные изменения. Майкрософт не предоставляет никаких гарантий, явных или подразумеваемых, относительно приведенных здесь сведений.
Проверяет авторизацию для данного контекста операции и необязательного сообщения.
Перегрузки
| CheckAccess(OperationContext) |
Проверяет авторизацию для данного контекста операции. |
| CheckAccess(OperationContext, Message) |
Проверяет авторизацию для данного контекста операции, когда требуется доступ к сообщению. |
CheckAccess(OperationContext)
Проверяет авторизацию для данного контекста операции.
public:
virtual bool CheckAccess(System::ServiceModel::OperationContext ^ operationContext);public virtual bool CheckAccess (System.ServiceModel.OperationContext operationContext);abstract member CheckAccess : System.ServiceModel.OperationContext -> bool
override this.CheckAccess : System.ServiceModel.OperationContext -> boolPublic Overridable Function CheckAccess (operationContext As OperationContext) As BooleanПараметры
- operationContext
- OperationContext
Возвращаемое значение
Значение true, если доступ предоставляется; в противном случае — значение false. Значение по умолчанию — true.
Примеры
В следующем коде показано, как переопределить этот метод для применения пользовательских требований управления доступом.
public class myServiceAuthorizationManager : ServiceAuthorizationManager
{
// Override the CheckAccess method to enforce access control requirements.
public override bool CheckAccess(OperationContext operationContext)
{
AuthorizationContext authContext =
operationContext.ServiceSecurityContext.AuthorizationContext;
if (authContext.ClaimSets == null) return false;
if (authContext.ClaimSets.Count != 1) return false;
ClaimSet myClaimSet = authContext.ClaimSets[0];
if (!IssuedBySTS_B(myClaimSet)) return false;
if (myClaimSet.Count != 1) return false;
Claim myClaim = myClaimSet[0];
if (myClaim.ClaimType ==
"http://www.tmpuri.org:accessAuthorized")
{
string resource = myClaim.Resource as string;
if (resource == null) return false;
if (resource != "true") return false;
return true;
}
else
{
return false;
}
}
// This helper method checks whether SAML Token was issued by STS-B.
// It compares the Thumbprint Claim of the Issuer against the
// Certificate of STS-B.
private bool IssuedBySTS_B(ClaimSet myClaimSet)
{
ClaimSet issuerClaimSet = myClaimSet.Issuer;
if (issuerClaimSet == null) return false;
if (issuerClaimSet.Count != 1) return false;
Claim issuerClaim = issuerClaimSet[0];
if (issuerClaim.ClaimType != ClaimTypes.Thumbprint)
return false;
if (issuerClaim.Resource == null) return false;
byte[] claimThumbprint = (byte[])issuerClaim.Resource;
// It is assumed that stsB_Certificate is a variable of type
// X509Certificate2 that is initialized with the Certificate of
// STS-B.
X509Certificate2 stsB_Certificate = GetStsBCertificate();
byte[] certThumbprint = stsB_Certificate.GetCertHash();
if (claimThumbprint.Length != certThumbprint.Length)
return false;
for (int i = 0; i < claimThumbprint.Length; i++)
{
if (claimThumbprint[i] != certThumbprint[i]) return false;
}
return true;
}
Public Class myServiceAuthorizationManager
Inherits ServiceAuthorizationManager
' Override the CheckAccess method to enforce access control requirements.
Public Overloads Overrides Function CheckAccess(ByVal operationContext As OperationContext) As Boolean
Dim authContext = operationContext.ServiceSecurityContext.AuthorizationContext
If authContext.ClaimSets Is Nothing Then
Return False
End If
If authContext.ClaimSets.Count <> 1 Then
Return False
End If
Dim myClaimSet = authContext.ClaimSets(0)
If Not IssuedBySTS_B(myClaimSet) Then
Return False
End If
If myClaimSet.Count <> 1 Then
Return False
End If
Dim myClaim = myClaimSet(0)
If myClaim.ClaimType = "http://www.tmpuri.org:accessAuthorized" Then
Dim resource = TryCast(myClaim.Resource, String)
If resource Is Nothing Then
Return False
End If
If resource <> "true" Then
Return False
End If
Return True
Else
Return False
End If
End Function
' This helper method checks whether SAML Token was issued by STS-B.
' It compares the Thumbprint Claim of the Issuer against the
' Certificate of STS-B.
Private Function IssuedBySTS_B(ByVal myClaimSet As ClaimSet) As Boolean
Dim issuerClaimSet = myClaimSet.Issuer
If issuerClaimSet Is Nothing Then
Return False
End If
If issuerClaimSet.Count <> 1 Then
Return False
End If
Dim issuerClaim = issuerClaimSet(0)
If issuerClaim.ClaimType <> ClaimTypes.Thumbprint Then
Return False
End If
If issuerClaim.Resource Is Nothing Then
Return False
End If
Dim claimThumbprint() = CType(issuerClaim.Resource, Byte())
' It is assumed that stsB_Certificate is a variable of type
' X509Certificate2 that is initialized with the Certificate of
' STS-B.
Dim stsB_Certificate = GetStsBCertificate()
Dim certThumbprint() = stsB_Certificate.GetCertHash()
If claimThumbprint.Length <> certThumbprint.Length Then
Return False
End If
For i = 0 To claimThumbprint.Length - 1
If claimThumbprint(i) <> certThumbprint(i) Then
Return False
End If
Next i
Return True
End Function
Комментарии
В общем случае приложения должны переопределять метод CheckAccessCore, а не этот метод.
Переопределять метод CheckAccess следует, если приложение связывает с полученным объектом ServiceSecurityContext (или вводит для него) другой набор политик; также можно предоставить другую модель оценки (создания цепочки) политик.
Этот метод отвечает за вызов метода CheckAccessCore.
Применяется к
CheckAccess(OperationContext, Message)
Проверяет авторизацию для данного контекста операции, когда требуется доступ к сообщению.
public:
virtual bool CheckAccess(System::ServiceModel::OperationContext ^ operationContext, System::ServiceModel::Channels::Message ^ % message);public virtual bool CheckAccess (System.ServiceModel.OperationContext operationContext, ref System.ServiceModel.Channels.Message message);abstract member CheckAccess : System.ServiceModel.OperationContext * Message -> bool
override this.CheckAccess : System.ServiceModel.OperationContext * Message -> boolPublic Overridable Function CheckAccess (operationContext As OperationContext, ByRef message As Message) As BooleanПараметры
- operationContext
- OperationContext
- message
- Message
Объект Message, который требуется проанализировать для принятия решения об авторизации.
Возвращаемое значение
Значение true, если доступ предоставляется; в противном случае — значение false. Значение по умолчанию — true.
Примеры
В следующем коде показано, как переопределить этот метод для применения пользовательских требований управления доступом, предусматривающих доступ к тексту сообщения.
public class myService_M_AuthorizationManager : ServiceAuthorizationManager
{
// set max size for message
int someMaxSize = 16000;
protected override bool CheckAccessCore(OperationContext operationContext, ref Message message)
{
bool accessAllowed = false;
MessageBuffer requestBuffer = message.CreateBufferedCopy(someMaxSize);
// do access checks using the message parameter value and set accessAllowed appropriately
if (accessAllowed)
{
// replace incoming message with fresh copy since accessing the message consumes it
message = requestBuffer.CreateMessage();
}
return accessAllowed;
}
}
Public Class myService_M_AuthorizationManager
Inherits ServiceAuthorizationManager
' set max size for message
Private someMaxSize As Integer = 16000
Public Overrides Function CheckAccess(ByVal operationContext As OperationContext, _
ByRef message As Message) As Boolean
Dim accessAllowed = False
Dim requestBuffer = Message.CreateBufferedCopy(someMaxSize)
' do access checks using the message parameter value and set accessAllowed appropriately
If accessAllowed Then
' replace incoming message with fresh copy since accessing the message consumes it
Message = requestBuffer.CreateMessage()
End If
Return accessAllowed
End Function
End Class
Комментарии
В общем случае приложения должны переопределять метод CheckAccessCore, а не этот метод, который следует использовать только в случае, если решение об авторизации зависит от тела сообщения. В связи с вопросами производительности при возможности следует внести изменения в приложение, чтобы решение об авторизации не требовало доступа к телу сообщения.
Переопределять этот метод следует, если приложение связывает с полученными объектами ServiceSecurityContext и Message (или вводит для них) другой набор политик; также можно предоставить другую модель оценки (создания цепочки) политик.
Этот метод отвечает за вызов метода CheckAccessCore.