許可權系統的組成通常包括RBAC模型、許可權驗證、許可權管理以及介面訪問控制。現有的一些許可權系統分析通常存在以下問題:
(1)沒有許可權的設計思路
認為所有系統都可以使用一套基於Table設計的許可權系統。事實上設計許可權系統的重點是判斷角色的穩定性和找出最小授權需求。角色的穩定性決定了系統是通過角色判斷許可權還是需要引入RBAC方式,最小授權需求防止我們過度設計導致超出授權需求的許可權粒度。
(2)沒有獨立的RBAC模型的概念
直接使用實體類表示RBAC模型,導致本身本應該只有幾行程式碼且可以在專案級別複用的RBAC模型不僅不能複用,還要在每個專案無論是否需要都要有User、Role、Permission等實體類,更有甚者把實體類對應的資料表的結構和關聯當作許可權系統的核心。
(3)許可權的抽象錯誤
我們通常既不實現作業系統也不實現資料庫,雖然作業系統的許可權和資料庫的許可權可以借鑑,但一般的業務系統上來就弄出一堆增刪該查、訪問和執行這樣的許可權,真是跑偏的太遠了。首先業務層次的操作至少要從業務的含義出發,叫瀏覽、編輯、稽核等這些客戶容易理解或就是客戶使用的詞彙更有意義,更重要的是我們是從角色中按照最小授權需求抽象出來的許可權,怎麼什麼都沒做就有了一堆許可權呢。
(4)將介面控制和許可權耦合到一起
開始的時候我們只有實體類Entities、應用服務Service以及對一些採用介面隔離原則定義的介面Interfaces,通常這個時候我們在Service的一個或多個方法會對應1個許可權,這個時候根本介面還沒有,就算有介面,也是介面對許可權的單向依賴,對於一個系統,可能不止有1個以上型別的客戶端,每個客戶端的介面訪問控制對許可權的依賴都應該儲存到客戶端,況且不同的客戶端對這些資料各奔沒有辦法複用。
下面我們使用盡可能少的程式碼來構建一個可複用的既不依賴資料訪問層也不依賴介面的RBAC模型,在此基礎上對角色的穩定性和許可權的抽象做一個總結。
1.建立RBAC模型
使用POCO建立基於RBAC0級別的可複用的User、Role和Permissin模型。
using System.Collections.Generic; namespace RBACExample.RBAC { public class RBACUser { public string UserName { get; set; } public ICollection<RBACRole> Roles { get; set; } = new List<RBACRole>(); } public class RBACRole { public string RoleName { get; set; } public ICollection<RBACPermission> Permissions { get; set; } = new List<RBACPermission>(); } public class RBACPermission { public string PermissionName { get; set; } } }
2.建立安全上下文
建立安全上下文RBACContext用於設定和獲取RBACUser物件。RBACContext使用執行緒級別的靜態變數儲存RBACUser物件,不負責實體類到RBAC物件的轉換,保證複用性。
using System; namespace RBACExample.RBAC { public static class RBACContext { [ThreadStatic] private static RBACUser _User; private static Func<string, RBACUser> _SetRBACUser; public static void SetRBACUser(Func<string, RBACUser> setRBACUser) { _SetRBACUser = setRBACUser; } public static RBACUser GetRBACUser(string username) { return _User == null ? (_User = _SetRBACUser(username)) : _User; } public static void Clear() { _SetRBACUser = null; } } }
3.自定義RoleProvider
自定義DelegeteRoleProvider,將許可權相關的GetRolesForUser和IsUserInRole的具體實現委託給靜態代理,保證複用性。
using System; using System.Web.Security; namespace RBACExample.RBAC { public class DelegeteRoleProvider : RoleProvider { private static Func<string, string[]> _GetRolesForUser; private static Func<string, string, bool> _IsUserInRole; public static void SetGetRolesForUser(Func<string, string[]> getRolesForUser) { _GetRolesForUser = getRolesForUser; } public static void SetIsUserInRole(Func<string, string, bool> isUserInRole) { _IsUserInRole = isUserInRole; } public override string[] GetRolesForUser(string username) { return _GetRolesForUser(username); } public override bool IsUserInRole(string username, string roleName) { return _IsUserInRole(username, roleName); } #region NotImplemented #endregion NotImplemented } }
在Web.config中配置DelegeteRoleProvider
<system.web> <compilation debug="true" targetFramework="4.5.2"/> <httpRuntime targetFramework="4.5.2"/> <authentication mode="Forms"> <forms loginUrl="~/Home/Login" cookieless="UseCookies" slidingExpiration="true" /> </authentication> <roleManager defaultProvider="DelegeteRoleProvider" enabled="true"> <providers> <clear /> <add name="DelegeteRoleProvider" type="RBACExample.RBAC.DelegeteRoleProvider" /> </providers> </roleManager> </system.web>
4.配置RBACContext和DelegeteRoleProvider
在Application_Start中配置RBACContext和DelegeteRoleProvider依賴的代理。為了便於演示我們直接建立RBACUser物件,在後文中我們再針對不同系統演示實體類到RBAC模型的對映。
public class MvcApplication : System.Web.HttpApplication { protected void Application_Start() { RBACContext.SetRBACUser(u => { return new RBACUser { UserName = u, Roles = new List<RBACRole> { new RBACRole { RoleName="admin", Permissions = new List<RBACPermission> { new RBACPermission { PermissionName="admin" } } } } }; }); DelegeteRoleProvider.SetGetRolesForUser(userName => RBACContext.GetRBACUser(userName).Roles.SelectMany(o => o.Permissions).Select(p => p.PermissionName).ToArray()); DelegeteRoleProvider.SetIsUserInRole((userName, roleName) => RBACContext.GetRBACUser(userName).Roles.SelectMany(o => o.Permissions).Any(p => p.PermissionName == roleName)); AreaRegistration.RegisterAllAreas(); RouteConfig.RegisterRoutes(RouteTable.Routes); } }
5.在ASP.NET MVC中通過.NET API使用
User.IsInRole和AuthorizeAttribute此時都可以使用,我們已經完成了一個RBAC許可權中間層,即隔離了不同系統的具體實現,也不用使用新的API呼叫。如果是服務層,使用Thread.CurrentPrincipal.IsInRole和PrincipalPermissionAttribute。
namespace RBACExample.Controllers { public class HomeController : Controller { public ActionResult Login(string returnUrl) { FormsAuthentication.SetAuthCookie("admin", false); return Redirect(returnUrl); } public ActionResult Logoff() { FormsAuthentication.SignOut(); return Redirect("/"); } public ActionResult Index() { return Content("home"); } [Authorize] public ActionResult Account() { return Content(string.Format("user is IsAuthenticated:{0}", User.Identity.IsAuthenticated)); } [Authorize(Roles = "admin")] public ActionResult Admin() { return Content(string.Format("user is in role admin:{0}", User.IsInRole("admin"))); } } }
6.擴充套件AuthorizeAttribute,統一配置授權
AuthorizeAttribute的使用將授權分散在多個Controller中,我們可以擴充套件AuthorizeAttribute,自定義一個MvcAuthorizeAttribute,以靜態字典儲存配置,這樣就可以通過程式碼、配置檔案或資料庫等方式讀取配置再存放到字典中,實現動態配置。此時可以從Controller中移除AuthorizeAttribute。如前文所述,客戶端的訪問控制與許可權的匹配應該儲存到客戶端為最佳,即使存放到資料庫也不要關聯許可權相關的表。
namespace RBACExample.RBAC { public class MvcAuthorizeAttribute : AuthorizeAttribute { private static Dictionary<string, string> _ActionRoleMapping = new Dictionary<string, string>(); public static void AddConfig(string controllerAction, params string[] roles) { var rolesString = string.Empty; roles.ToList().ForEach(r => rolesString += "," + r); rolesString = rolesString.TrimStart(','); _ActionRoleMapping.Add(controllerAction, rolesString); } public override void OnAuthorization(AuthorizationContext filterContext) { var key = string.Format("{0}{1}", filterContext.ActionDescriptor.ControllerDescriptor.ControllerName, filterContext.ActionDescriptor.ActionName); if (_ActionRoleMapping.ContainsKey(key)) { this.Roles = _ActionRoleMapping[key]; base.OnAuthorization(filterContext); } } } }
通過GlobalFilterCollection配置將MvcAuthorizeAttribute配置為全域性Filter。
public static void RegisterGlobalFilters(GlobalFilterCollection filters) { filters.Add(new HandleErrorAttribute()); MvcAuthorizeAttribute.AddConfig("AccountIndex"); MvcAuthorizeAttribute.AddConfig("AdminIndex", Permission.AdminPermission); filters.Add(new MvcAuthorizeAttribute()); }
7.按需設計實體類
當RBAC模型不直接依賴實體類時,實體類可以按需設計,不再需要為了遷就RBAC的關聯引入過多的實體,可以真正做到具體問題具體分析,不需要什麼系統都上Role、Permission等實體類,對於角色穩定的系統,既減少了系統的複雜度,也減少了大量後臺的功能實現,也簡化了後臺的操作,不用什麼系統都上一套使用者頭疼培訓人員也頭疼的許可權中心。
(1)使用屬性判斷許可權的系統
有些系統,比如個人部落格,只有一個管理員角色admin,admin角色是穩定的許可權不變的,所以既不需要考慮使用多個角色也不需要再進行許可權抽象,因此使用User.IsAdmin屬性代替Role和Permission就可以,沒必要再使用Role和Permission實體類,增大程式碼量。後臺進行許可權管理只需要實現屬性的編輯。
RBACContext.SetRBACUser(u => { var user = new UserEntity { UserName = "admin", IsAdmin = true }; var rbacUser = new RBACUser { UserName = user.UserName }; if (user.IsAdmin) { rbacUser.Roles.Add(new RBACRole { RoleName = "admin", Permissions = new List<RBACPermission> {new RBACPermission { PermissionName="admin" } } }); } return rbacUser; });
(2)使用角色判斷許可權的系統
有些系統,比如B2C的商城,雖然有多個角色,但角色都是穩定的許可權不變的,使用User和Role就可以,沒有必要為了應用RBAC而引入Permission類,強行引入雖然實現了Role和Permission的分配回收功能,但實際上不會使用,只會使用User的Role授權功能。許可權的抽象要做到滿足授權需求即可,在角色就能滿足授權需求的情況下,角色和許可權的概念是一體的。後臺實現許可權管理只需要實現對使用者角色的管理。
(3)需要對角色進行動態授權的系統
有些系統,比如ERP,有多個不穩定的角色,每個角色通常對應多項許可權,由於組織機構和人員職責的變化,必須對角色的許可權進行動態分配,需要使用User、Role和Permission的組合。User由於許可權範圍的不同,通常具有一個或多個許可權,不同的User具有的角色通常不再是平行關係而是層級關係,如果不從Role中抽象Permission,需要定義大量的Role對應不同許可權的組合,遇到這種情況時,分離許可權,對角色進行許可權管理就成了必然。後臺實現許可權管理即需要實現對使用者角色的管理也需要實現對角色許可權的管理。
RBACContext.SetRBACUser(u => { var user = ObjectFactory.GetInstance<IUserService>().GetUserByName(u); return new RBACUser { UserName = user.UserName, Roles = user.Roles.Select(r => new RBACRole { RoleName = r.RoleName, Permissions = r.Permissions.Select(p => new RBACPermission { PermissionName = p.Name }).ToList() }).ToList() }; });
8.總結
使用RBAC模型和.NET的許可權驗證API解決了許可權系統的複用問題,從角色的穩定性出發防止實體類規模膨脹,通過最小授權需求的抽象可以防止許可權的濫用。
參考:
(1)https://en.wikipedia.org/wiki/Role-based_access_control
(2)http://csrc.nist.gov/groups/SNS/rbac/faq.html
(3)http://www.codeproject.com/Articles/875547/Custom-Roles-Based-Access-Control-RBAC-in-ASP-NET
(4)http://www.ibm.com/developerworks/cn/java/j-lo-rbacwebsecurity/