ClaimsAuthorizationManager Sınıf
Tanım
Önemli
Bazı bilgiler ürünün ön sürümüyle ilgilidir ve sürüm öncesinde önemli değişiklikler yapılmış olabilir. Burada verilen bilgilerle ilgili olarak Microsoft açık veya zımni hiçbir garanti vermez.
Talep yetkilendirme yöneticisi için temel uygulamayı tanımlar.
public ref class ClaimsAuthorizationManager : System::IdentityModel::Configuration::ICustomIdentityConfigurationpublic class ClaimsAuthorizationManager : System.IdentityModel.Configuration.ICustomIdentityConfigurationtype ClaimsAuthorizationManager = class
interface ICustomIdentityConfigurationPublic Class ClaimsAuthorizationManager
Implements ICustomIdentityConfiguration- Devralma
-
ClaimsAuthorizationManager
- Uygulamalar
Örnekler
Konu başlıklarında ClaimsAuthorizationManager kullanılan kod örnekleri örnekten Claims Based Authorization alınır. Bu örnek, yapılandırmada belirtilen bir ilkeye göre konuları yetkilendirebilen özel talep yetkilendirme yöneticisi sağlar. Özel talep yetkilendirme yöneticisi üç temel bileşenden ClaimsAuthorizationManager oluşur: yöneticisini uygulayan bir sınıf, ResourceAction bir kaynakla eylemi eşleştiren sınıf ve yapılandırma dosyasında belirtilen ilkeyi okuyan ve derleyen bir ilke okuyucu. Bu derlenmiş ilke daha sonra talep yetkilendirme yöneticisi tarafından kaynaklara erişim yetkisi vermek üzere bir sorumluyu değerlendirmek için kullanılabilir. Kısalık için tüm öğeler gösterilmez. Bu örnek ve WIF için kullanılabilen diğer örnekler ve bunların nereden indirileceği hakkında bilgi için bkz. WIF Kod Örneği Dizini.
Aşağıdaki kod, özel talep yetkilendirme yöneticisinin uygulamasını gösterir. yöntemi, LoadCustomConfiguration ilke okuyucu yardımcı sınıfını (gösterilmez) kullanarak ilkeyi yapılandırmadan okur ve derler ve CheckAccess yöntem bu ilkeye göre erişim verir veya erişimi reddeder.
using System;
using System.Collections.Generic;
using System.IO;
using System.Linq;
using System.Linq.Expressions;
using System.Security.Claims;
using System.Xml;
namespace ClaimsAuthorizationLibrary
{
/// <summary>
/// Simple ClaimsAuthorizationManager implementation that reads policy information from the .config file
/// </summary>
public class MyClaimsAuthorizationManager : ClaimsAuthorizationManager
{
static Dictionary<ResourceAction, Func<ClaimsPrincipal, bool>> _policies = new Dictionary<ResourceAction, Func<ClaimsPrincipal, bool>>();
PolicyReader _policyReader = new PolicyReader();
/// <summary>
/// Creates a new instance of the MyClaimsAuthorizationManager
/// </summary>
public MyClaimsAuthorizationManager()
{
}
/// <summary>
/// Overloads the base class method to load the custom policies from the config file
/// </summary>
/// <param name="nodelist">XmlNodeList containing the policy information read from the config file</param>
public override void LoadCustomConfiguration(XmlNodeList nodelist)
{
Expression<Func<ClaimsPrincipal, bool>> policyExpression;
foreach (XmlNode node in nodelist)
{
//
// Initialize the policy cache
//
XmlDictionaryReader rdr = XmlDictionaryReader.CreateDictionaryReader(new XmlTextReader(new StringReader(node.OuterXml)));
rdr.MoveToContent();
string resource = rdr.GetAttribute("resource");
string action = rdr.GetAttribute("action");
policyExpression = _policyReader.ReadPolicy(rdr);
//
// Compile the policy expression into a function
//
Func<ClaimsPrincipal, bool> policy = policyExpression.Compile();
//
// Insert the policy function into the policy cache
//
_policies[new ResourceAction(resource, action)] = policy;
}
}
/// <summary>
/// Checks if the principal specified in the authorization context is authorized to perform action specified in the authorization context
/// on the specified resoure
/// </summary>
/// <param name="pec">Authorization context</param>
/// <returns>true if authorized, false otherwise</returns>
public override bool CheckAccess(AuthorizationContext pec)
{
//
// Evaluate the policy against the claims of the
// principal to determine access
//
bool access = false;
try
{
ResourceAction ra = new ResourceAction(pec.Resource.First<Claim>().Value, pec.Action.First<Claim>().Value);
access = _policies[ra](pec.Principal);
}
catch (Exception)
{
access = false;
}
return access;
}
}
}
Aşağıdaki kod, özel talep yöneticisi tarafından kullanılan sınıfı gösterir ResourceAction .
using System;
namespace ClaimsAuthorizationLibrary
{
/// <summary>
/// Class to encapsulate resource/action pair
/// </summary>
public class ResourceAction
{
public string Resource;
public string Action;
/// <summary>
/// Checks if the current instance is equal to the given object by comparing the resource and action values
/// </summary>
/// <param name="obj">object to compare to</param>
/// <returns>True if equal, else false.</returns>
public override bool Equals(object obj)
{
ResourceAction ra = obj as ResourceAction;
if (ra != null)
{
return ((string.Compare(ra.Resource, Resource, true) == 0) && (string.Compare(ra.Action, Action, true) == 0));
}
return base.Equals(obj);
}
/// <summary>
/// Gets the hash code.
/// </summary>
/// <returns>The hash code.</returns>
public override int GetHashCode()
{
return (Resource + Action).ToLower().GetHashCode();
}
/// <summary>
/// Creates an instance of ResourceAction class.
/// </summary>
/// <param name="resource">The resource name.</param>
/// <param name="action">The action.</param>
/// <exception cref="ArgumentNullException">when <paramref name="resource"/> is null</exception>
public ResourceAction(string resource, string action)
{
if (string.IsNullOrEmpty(resource))
{
throw new ArgumentNullException("resource");
}
Resource = resource;
Action = action;
}
}
}
Aşağıdaki XML, IIS 7.5'te barındırılan bir web uygulaması için yukarıda gösterilen talep yetkilendirme yöneticisinin nasıl yapılandırileceğini gösterir. Yalnızca talep yetkilendirme yöneticisinin yapılandırmasına özgü öğeler gösterilir. öğesinin altındaki <system.Webserver> işlem hattına ClaimsAuthorizationModule sınıfına bir başvuru eklenmesi gerektiğini unutmayın. IIS'nin IIS 7 öncesi sürümlerinde barındırılan siteler ve uygulamalar için modüller öğesinin altındaki işlem hattına <system.Web> eklenebilir. Bu yapılandırma gösterilir ancak açıklama satırı yapılır.
Talep yetkilendirme yöneticisi tarafından kullanılan ilke, claimsAuthorizationManager> öğesi altındaki< özel <policy> öğeler tarafından belirtilir. İlk ilkede, belirtilen kaynakta belirtilen eylemi gerçekleştirmek için sorumlunun belirtilen taleplerden birine sahip olması gerekir. İkinci ilkede, sorumlunun belirtilen kaynakta belirtilen eylemi gerçekleştirebilmesi için her iki beyana da sahip olması gerekir. Diğer tüm durumlarda, sahip olduğu taleplerden bağımsız olarak sorumluya otomatik olarak erişim verilir.
<configuration>
<configSections>
<!--WIF 4.5 sections -->
<section name="system.identityModel" type="System.IdentityModel.Configuration.SystemIdentityModelSection, System.IdentityModel, Version=4.0.0.0, Culture=neutral, PublicKeyToken=B77A5C561934E089"/>
...
</configSections>
...
<system.web>
<httpModules>
<!--WIF 4.5 modules -->
<!--Not needed here for IIS >= 7 -->
<!--<add name="ClaimsAuthorizationModule" type="System.IdentityModel.Services.ClaimsAuthorizationModule, System.IdentityModel.Services, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089"/>-->
</httpModules>
</system.web>
...
<system.webServer>
<modules>
<!--WIF 4.5 modules -->
<add name="ClaimsAuthorizationModule" type="System.IdentityModel.Services.ClaimsAuthorizationModule, System.IdentityModel.Services, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089"/>
</modules>
</system.webServer>
...
<!-- WIF 4.5 s.im section-->
<system.identityModel>
<identityConfiguration>
<claimsAuthorizationManager type="ClaimsAuthorizationLibrary.MyClaimsAuthorizationManager, ClaimsAuthorizationLibrary">
<policy resource="http://localhost:28491/Developers.aspx" action="GET">
<or>
<claim claimType="http://schemas.microsoft.com/ws/2008/06/identity/claims/role" claimValue="developer" />
<claim claimType="http://schemas.xmlsoap.org/claims/Group" claimValue="Administrator" />
</or>
</policy>
<policy resource="http://localhost:28491/Administrators.aspx" action="GET">
<and>
<claim claimType="http://schemas.xmlsoap.org/claims/Group" claimValue="Administrator" />
<claim claimType="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/country" claimValue="USA" />
</and>
</policy>
<policy resource="http://localhost:28491/Default.aspx" action="GET">
</policy>
<policy resource="http://localhost:28491/" action="GET">
</policy>
<policy resource="http://localhost:28491/Claims.aspx" action="GET">
</policy>
</claimsAuthorizationManager>
...
</identityConfiguration>
</system.identityModel>
...
</configuration><configuration>
<configSections>
<!--WIF 4.5 sections -->
<section name="system.identityModel" type="System.IdentityModel.Configuration.SystemIdentityModelSection, System.IdentityModel, Version=4.0.0.0, Culture=neutral, PublicKeyToken=B77A5C561934E089"/>
...
</configSections>
...
<system.web>
<httpModules>
<!--WIF 4.5 modules -->
<!--Not needed here for IIS >= 7 -->
<!--<add name="ClaimsAuthorizationModule" type="System.IdentityModel.Services.ClaimsAuthorizationModule, System.IdentityModel.Services, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089"/>-->
</httpModules>
</system.web>
...
<system.webServer>
<modules>
<!--WIF 4.5 modules -->
<add name="ClaimsAuthorizationModule" type="System.IdentityModel.Services.ClaimsAuthorizationModule, System.IdentityModel.Services, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089"/>
</modules>
</system.webServer>
...
<!-- WIF 4.5 s.im section-->
<system.identityModel>
<identityConfiguration>
<claimsAuthorizationManager type="MyClaimsAuthorizationManager.SimpleClaimsAuthorizationManager, MyClaimsAuthorizationManager" />
...
</system.identityModel>
...
</configuration>
Açıklamalar
sınıfı, ClaimsAuthorizationManager talep yetkilendirme yöneticisi için temel uygulama sağlar. Talep yetkilendirme yöneticisi aşağıdaki iki senaryoda kullanılabilir:
Web tabanlı uygulama ve hizmetlerde, istenen kaynağı gerçekten uygulayan uygulama kodu çağrılmadan önce gelen taleplerin değerine göre bir kaynağa erişim yetkisi verebileceğiniz bir genişletilebilirlik noktası sağlamak için işleme işlem hattına bir talep yetkilendirme yöneticisi eklenebilir.
Sınıfını veya sınıfını ClaimsPrincipalPermissionClaimsPrincipalPermissionAttribute kullanarak kodunuzda kesinlik temelli veya bildirim temelli talep tabanlı erişim denetimleri gerçekleştirdiğinizde, uygulamanız için yapılandırılan talep yetkilendirme yöneticisi sistem tarafından denetimi gerçekleştirmek üzere çağrılır. Talep tabanlı erişim denetimleri hem web tabanlı uygulamalarda hem de masaüstü uygulamalarında gerçekleştirilebilir.
Sınıfı tarafından ClaimsAuthorizationManager sağlanan varsayılan uygulama, sunulan her talep için erişim yetkisi verir; ancak bu sınıftan türetebilir ve kendi yetkilendirme mantığınızı sağlamak için yöntemini geçersiz kılabilirsiniz CheckAccess .
Talep yetkilendirme yöneticisi kullanımı isteğe bağlıdır. Uygulamanızı, sınıfını kullanarak IdentityConfiguration program aracılığıyla veya bildirim temelli olarak, uygulama yapılandırma dosyanızdaki identityConfiguration> öğesinin alt öğesi olan claimsAuthorizationManager öğesini< belirterek bir talep yetkilendirme yöneticisi kullanacak şekilde yapılandırabilirsiniz.>< Uygulamanız Internet Information Services'te (IIS) barındırılan bir web sitesi veya web uygulamasıysa, ASP.NET HTTP Modülleri koleksiyonuna da öğesini eklemeniz ClaimsAuthorizationModule gerekir.
Önemli
sınıfını ClaimsPrincipalPermission veya ClaimsPrincipalPermissionAttribute sınıfını kullandığınızda, erişim denetimini gerçekleştirmek için kullanılan talep yetkilendirme yöneticisi, özelliği altındaki FederatedAuthentication.FederationConfiguration kimlik yapılandırmasında belirtilen yöneticidir. Yapılandırma dosyasında, <identityConfiguration> varsayılan <federationConfiguration> öğeden başvurulan bölümdür. Bu, Windows Communication Foundation (WCF) hizmetleri ve masaüstü uygulamaları için bile geçerlidir.
ClaimsAuthorizationManager Temel sınıf herhangi bir ek yapılandırma almaz; ancak, alt öğelerinden <claimsAuthorizationElement>talep yetkilendirme yöneticinizin başlatılmasını sağlamak için türetilmiş sınıflarda öğesini geçersiz kılabilirsinizLoadCustomConfiguration. Tipik senaryo, hangi kaynağa erişim elde etmek için hangi talep türlerinin ve değerlerin gerekli olduğunu belirleyen yetkilendirme ilkelerini belirtmek için bu alt öğeleri kullanmaktır. Bu zor bir gereksinim değildir, ancak uygulamanız için anlamlı olan kullanımı ve söz dizimini tanımlayabilirsiniz.
Oluşturucular
| ClaimsAuthorizationManager() |
ClaimsAuthorizationManager sınıfının yeni bir örneğini başlatır. |
Yöntemler
| CheckAccess(AuthorizationContext) |
Türetilmiş bir sınıfta uygulandığında, belirtilen kaynakta belirtilen eylemi gerçekleştirmek için belirtilen bağlamdaki konu için yetkilendirmeyi denetler. |
| Equals(Object) |
Belirtilen nesnenin geçerli nesneye eşit olup olmadığını belirler. (Devralındığı yer: Object) |
| GetHashCode() |
Varsayılan karma işlevi işlevi görür. (Devralındığı yer: Object) |
| GetType() |
Type Geçerli örneğini alır. (Devralındığı yer: Object) |
| LoadCustomConfiguration(XmlNodeList) |
Türetilmiş bir sınıfta geçersiz kılındığında XML'den özel yapılandırma yükler. |
| MemberwiseClone() |
Geçerli Objectöğesinin sığ bir kopyasını oluşturur. (Devralındığı yer: Object) |
| ToString() |
Geçerli nesneyi temsil eden dizeyi döndürür. (Devralındığı yer: Object) |
Şunlara uygulanır
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin