Ansprüche und das Verweigern des Zugriffs auf RessourcenClaims and Denying Access to Resources

Windows Communication Foundation (WCF) unterstützt einen anspruchsbasierten Autorisierungsmechanismus.Windows Communication Foundation (WCF) supports a claims-based authorization mechanism. Systeme erlauben den Zugriff auf Ressourcen basierend auf dem Vorhandensein von Ansprüchen, verweigern jedoch auch häufig einen solchen Zugriff.As well as allowing access to resources based on the presence of claims, systems often deny access to resources based on the presence of claims. Derartige Systeme sollten den AuthorizationContext nach Ansprüchen untersuchen, die dazu führen, dass der Zugriff verweigert wird, bevor sie nach Ansprüchen suchen, die zum Zulassen des Zugriffs führen.Such systems should examine the AuthorizationContext for claims that result in access being denied before looking for claims that result in access being allowed.

Ein System kann beispielsweise einem Benutzer, der einen Anspruch des Typs Age, ein Recht des Typs PossessProperty und den Ressourcenwert Under 21 besitzt, den Zugriff auf eine Ressource nur verweigern, wenn dieser außerdem einen Anspruch des Typs Name, ein Recht des Typs Identity und den Ressourcenwert Mallory besitzt.For example, a system might deny access to a resource to anyone who has a claim with a type of Age, a right of PossessProperty, and a resource value of Under 21 only when that identity also has a claim of type Name, a right of Identity, and a resource value of Mallory. Anders ausgedrückt, das System verweigert jedem Benutzer den Zugriff, der unter 21 Jahre alt ist, und lässt den Zugriff zu, wenn der Name Mallory lautet.Put another way, the system denies access to anyone who is under 21 years old and grants access when the name is Mallory. Um diese semantischen Informationen richtig zu implementieren, ist es wichtig, erst nach dem Age-Anspruch zu suchen und dann zu bestimmen, ob das Alter unter 21 Jahre liegt.To correctly implement this semantic, it is important to look for the Age claim first and determine whether the age is under 21 years old. Andernfalls kann, wenn Mallory unter 21 ist, der Zugriff auf die Ressource einzig auf Basis des Name-Anspruchs zugelassen werden.Otherwise, if Mallory is under 21, then the resource may be granted access solely on the basis of the Name claim.

Siehe auchSee Also

Verwalten von Ansprüchen und Autorisierung mit dem IdentitätsmodellManaging Claims and Authorization with the Identity Model
Ansprüche und TokenClaims and Tokens