SharePoint 2013 开发——APP安全模型

最新推荐文章于 2021-01-21 22:21:23 发布
最新推荐文章于 2021-01-21 22:21:23 发布
阅读量2.3k 收藏
点赞数 2
分类专栏: SharePoint 2013 Development SharePoint 2013 开发 文章标签: SharePoint 2013 Development
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/foxdave/article/details/46045411
版权

除非开启了SharePoint网站的匿名访问,否则对于入站的请求,必须要有一个身份验证的过程(Authentication),这个很重要。

SharePoint身份验证依赖于目录服务(如AD、identity providers(IdPs)像Google和Facebook),服务(如IIS、Azure Access Contro Service(ACS),以及Active Directory Services(ADFS)来实现它的身份验证业务逻辑。

基于编程模型的改变,SharePoint 2013需要处理两种类型的认证:用户认证和APP认证。对于用户认证,SharePoint使用安全组和存储在内容数据库中的Access Control List(ACL)来跟踪,但是对于APP,SharePoint使用了另一种方式。APP的认证通过ACS来提供给SharePoint,叫做OAuth(OAuth 2.0是OAuth的下一个版本,需要HTTPS)。这种架构使得用户可以授权APP去代表他们工作而不需要保存他们的凭据信息。


当SharePoint收到一个入站请求时,会检查请求中是否包含标识用户身份的登录令牌,如果找到该令牌,SharePoint就假定该请求是由通过验证的用户发出的而不是APP。然后SharePoint会检查请求的目标URL指向的是一个标准的网站还是与APP有关系的子网站(APPWeb)。如果该请求指向了一个标准的网站,那么SharePoint 2013会遵循之前版本典型的认证过程;如果是与APP相关的话,则会初始化一个包含用户认证和APP认证的上下文(context)。

如果没有找到登录令牌,SharePoint就知道这不是用户发起的请求。在这种情况下,SharePoint会寻找OAuth令牌来识别远程应用。当找到安全令牌之后,它会创建包含APP认证和用户认证(可选)的上下文。


身份认证(Authentication)之后再来看授权(Authorization)。上下文创建之后,SharePoint会决定授予APP什么样的权限,跟用户权限一样,SharePoint通过自身的内部内容数据库来跟踪授权。

具体的认证授权流可参加下图,更多信息

每个APP都有一个manifest.xml清单文件,开发人员可以在这里通过AppPermissionRequests节点来定义APP需要访问的资源列表,下面的代码片段提供了一个示例(provider-hosted APP):

<AppPermissionRequests AllowAppOnlyPolicy="true">
  <AppPermissionRequest Scope="http://sharepoint/content/sitecollection"   Right="Read"/>
  <AppPermissionRequest Scope="http://sharepoint/content/sitecollection/web/list"   Right="Write">
    <Property Name="BaseTemplateId" Value="101"/>
  </AppPermissionRequest>
  <AppPermissionRequest Scope="http://sharepoint/userprofilestore/feed"   Right="Post"/>
  <AppPermissionRequest Scope="http://exchange/calendars" Right="Schedule"/>
</AppPermissionRequests>

注意这里面的第一行,APP的权限请求启用了app-only策略,它意味着只有APP(没有当前用户)需要必要的权限。如果没有使用该策略,则表示APP和当前用户都需要必要的权限来完成任务如访问整个网站集或在列表中创建项目,这会使上下文同时包含APP和用户的身份。

app-only策略可以提高APP的权限,使得它可以比当前用户做更多的事。当用户安装包含AppPermissionRequest条目的APP时,该用户必须在安装时授予APP清单中声明的权限。

ACS不能在本地部署的非Office 365环境中使用,意味着本地部署也没有OAuth令牌。本地APP需要使用一种不同的安全令牌,该令牌由Server-to-Server(S2S)配置创建,更多信息


关于APP的安全,我们还应该知道以下事情:

APP运行在它们自己的域内(防止跨网站脚本攻击),用JavaScript编写,但这并不意味着它们是安全的。作为开发人员,仍需考虑因为APP的设计导致的安全漏洞和敏感信息泄漏的问题。

SharePoint-hosted APP没有指定列表或网站级别的授权,换句话说,如果一个APP对一个列表有写入权限,它对另一个列表也有。

当用户为provider-hosted APP授权的时候,这是一个一次性过程,即使之后APP的逻辑代码改变了,SharePoint对此也并不知情。

当APP使用OAuth令牌来完成一些任务时,页面上另一个APP也可以使用该APP的身份和用户的身份。在这种情况下,黑客可以通过不安全的通信协议(HTTP)来拦截OAuth令牌。

所以,我们在开发APP时,需要用心设计并尽量使用HTTPS来加密通信协议。

Justin-Liu
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SharePoint 2013开发入门经典 第3版
03-07
SharePoint 2013开发入门经典 第3版
Android平台安全模型(The Android Platform Security Model)
ashimida
08-10 2105
摘要 Android是部署最广泛的终端用户操作系统,其覆盖的用例包括: 通信,导航,媒体消费,娱乐,财务,健康以及传感器,执行器,摄像头或麦克风,其基础安全模型需要在各种情况下解决许多实际的威胁。 Android的安全模型模型需要在终端用户的安全性,隐私性,可用性,及在资源紧张的硬件配置下保证应用开发和系统性能之间取得平衡。 虽然很多设计原则都隐含在了整个系统架构,访问控制机制和漏洞缓解技术中,但Android的安全模型之前从未正式发布过,本文的目的就是为了讨论此抽象模型。 基于威胁模型的定...
SharePoint 2013 开发——概述
weixin_30559481的博客
05-27 120
博客地址:http://blog.csdn.net/FoxDave近来阅读SharePoint 2013开发一书,带着与大家一起分享其中的内容。部署场景:本地部署(On-Premise Deployment)、O365部署(Office 365 Deployment)、托管部署(Hosted Deployment)和混合部署(Hybrid Deployment)。包场景:完全信任的场解决方...
SharePoint应用场景介绍(一)
weixin_30949361的博客
10-24 617
最近总是看到很多人在论坛提问中都在问:SharePoint究竟能作什么?都用来作了什么? 这里我把自己接触到的MOSS的应用场景中的一部分说下,可能也不是很全,希望能给大家一些启发,能激发出更好的想法,作为抛砖引玉。 第一:自定义列表的应用 自定义列表因为非常灵活自如、配置方便快捷、自带的功能也非常完善等原因,在企业应用中非常普遍。 应用1:新闻、通知 用来作新闻和通知,不需要开发就可以...
使用SharePoint App-Only获得访问权限
tommycnbj的博客
01-21 521
使用SharePoint App-Only获得访问权限 目前在开发SharePoint Online的过程中,主要使用通过Azure AD的方式获得应用的访问权限,但是SharePoint App-Only的方式依旧被保留了。使用这种方式进行CSOM开发比使用Azure AD相对要简单,因为使用Azure AD的方式,需要发布自签名证书,相应的代码也会复杂一些。但是需要注意的是,使用App-Only的方式是无法创建modern site的。 使用App-Only的方式,首先要访问 https://your-
1、SharePoint2013App开发.pdf
09-30
1、SharePoint2013App开发.pdf
SharePoint 2013开发指导
03-21
本书针对最新版本SharePoint,讲解如何使用SharePoint 2013进行开发演练
Microsoft SharePoint 2013 App Development
09-15
Microsoft SharePoint 2013 App Development
SharePoint 2013 开发——开发并部署第一个APP
06-12 7515
博客地址:http://blog.csdn.net/FoxDave 本篇我们开始对开发APP应用程序进行了解。 Office 365知识库彩蛋 本篇基于本地SharePoint环境(如果是Office 365的话会方便许多),需要配置一下APP的环境,具体参照霖雨大神的Blog。 开发APP的第一步,创建一个开发者网站集,操作方法跟我们创建其他的网站集几乎一样,选择好开发者网站的模版即...
SharePoint 2013 开发——开发并部署webpart
06-24 5139
博客地址:http://blog.csdn.net/FoxDave webpart我们就不详细阐述了,在APP开发中,自定义属性设置通过APP webpart的URL查询字符串传递,它通过IFRAME来显示远程的内容。废话不多说,我们开始实际操作。 打开Visual Studio,新建SharePoint应用程序项目,名字我们就叫做SharePointAppPartTest。 参照...
SharePoint Site "Regional Settings"功能与CSOM的对应
04-26 4009
博客地址:http://blog.csdn.net/FoxDave SharePoint网站中的区域设置:"Regional Settings",可以用CSOM通过Site的一些属性去设置它。 Time Zone部分: Specify the standard time zone. 对应的属性为:web.RegionalSettings.TimeZone TimeZone类型属...
SharePoint 2013 应用开发实战》目录
05-25 3905
博客地址:http://blog.csdn.net/FoxDave第 1 章  1◄SharePoint概述►        11.1  SharePoint的发展历程 11.1.1  SharePoint Team Service 1.0和SharePointPortal Server 2001 21.1.2  Windows SharePoint Service 2.0和SharePointP
SharePoint 2013 开发——获取用户配置文件属性内容(User Profile)
07-21 3523
SharePoint 2013 开发——获取用户配置文件属性内容(User Profile)
SharePoint 2013 开发——SharePoint Designer 2013工作流
06-09 3450
SharePoint 2013 开发——SharePoint Designer 2013工作流
SharePoint 2013 开发——发布SharePoint应用程序
06-26 3100
SharePoint 2013 开发——细致讲述如何发布SharePoint应用程序
SharePoint\O365 CSOM操作"请求访问设置"功能
04-09 2942
博客地址:http://blog.csdn.net/FoxDave请求访问设置是在SharePoint网站权限菜单中的一个功能,如下图:它用来设置成员是否可以共享网站以及个别文件和文件夹,是否允许成员邀请其他人加入站点某个成员组,以及是否允许访问请求。本篇简要介绍一下如何通过CSOM对以上设置进行更改。首先第一个复选框:允许成员共享网站以及个别文件和文件夹 ctx.Load(web, w
sharepoint 2013部署
最新发布
07-28
- *1* *2* *3* [部署SharePoint2013](https://blog.csdn.net/weixin_34185364/article/details/85115073)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值