在依赖方应用程序中,授权可确定允许已经过身份验证的标识访问的资源以及允许该标识对这些资源执行的操作。 授权不当会导致信息泄露和数据篡改。 本主题概述了可用于通过 Windows Identity Foundation (WIF) 和安全令牌服务 (STS) 来实现针对声明感知 ASP.NET Web 应用程序和服务(例如,Microsoft Azure 访问控制服务 (ACS))的授权的方法。
概述
.NET Framework 自其第一个版本开始便已提供用于实现授权的灵活机制。 此机制基于两个简单接口 - IPrincipal 接口和 IIdentity 接口。 IIdentity 接口的具体实现表示已经过身份验证的用户。 例如,WindowsIdentity 实现表示已由 Active Directory 进行身份验证的用户,而 GenericIdentity 表示已经过自定义身份验证过程验证其身份的用户。 IPrincipal 接口的具体实现可帮助使用角色(具体取决于角色存储)检查权限。 例如,WindowsPrincipal 检查 Active Directory 组中 WindowsIdentity 的成员资格。 通过在 IPrincipal 接口上调用 IsInRole 方法执行此检查。 基于角色检查访问权称作基于角色的访问控制 (RBAC)。 有关详细信息,请参阅基于角色的访问控制。声明可用于携带有关角色的信息以支持熟悉的、基于角色的授权机制。
声明还可用于启用超出角色范围的更复杂的授权决策。 声明可以基于用户的年龄、邮
最低0.47元/天 解锁文章
3864
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
