ASP.NET 역할 기반 보안이 실제 역할 기반 액세스 제어 시스템입니까?

Question

내가 읽었던 것 this paper 역할 기반 액세스 제어 시스템은 사용자가 역할에 할당 할 수있는 역할을 이해합니다. 여기서 역할은 개체에서 작업을 수행 할 권한을 지정하는 역할을합니다. 그러나 asp.net에서는 "작업을 개체 ", 여기서 내가 의미하는 바는"역할 R의 모든 사용자가 개체 O에서 삭제를 수행 할 수 있습니다 "입니다.

Answer 1

보안 모델은 매우 제한적입니다. 본질적으로 역할 수준 만 제어 할 수 있습니다. 즉, 어떤 작업에 대해서라도 사용자가 해당 작업을 수행 할 수 있도록 허용하려는 역할인지 여부를 확인해야합니다.

우리는 더 많은 세분성을 제공하는 자체 모델을 정의하는 길을 택했습니다. 기본적으로 작업을 정의하고 이러한 작업을 다양한 역할에 할당합니다. 이렇게하면 "계정 삭제"권한이 "Admin", "Account Admin"또는 기타 여러 가지 역할에 해당하는지 테스트 할 수 있는지 테스트 할 수 있습니다. Active Directory의 작동 방식과 매우 유사합니다. 또한 필요에 따라 역할을 재구성 할 수 있습니다.

windows와 함께 제공되는 Authorization Manager (AzMan) 조각이 있습니다. 회원 등급 제공자와 협력하여 운영 수준을 관리 할 수 ​​있습니다. 어떤 사람들은 성공했지만 다른 사람들은 일하기가 어렵다고 불평했습니다. 우리는 프로젝트에서 약 5 년 전에 그것을 사용했고 그 당시에는 약 95 %의 시간이 걸렸습니다. 나머지 5 %는 AD 컨트롤러와 통신 문제가있었습니다.

질문 : 우리는 ASP.Net 멤버십 제공자가 내장 된 액세스 제어 시스템을 진정한 역할 기반으로 삼고 있습니까? 아니요. 작업이 아닌 역할을 정의 할 수 있습니다.

Answer 2

삭제 작업을 구현하고 있으므로 로그인 한 사용자가 개체를 삭제할 수있는 권한이 있는지 확인해야합니다. 예를 들어 "CanDeleteOs"역할을 만들 수 있습니다. 그러면 코드는 다음과 같습니다.

if (!Roles.IsUserInRole("CanDeleteOs")) 
    throw new Exception("User does not have permission to delete O's."); 

Answer 3

더 미세한 것이 필요한 경우 Rhino 보안을 확인하십시오.

Answer 4

이전 게시글에서 제안한대로보다 세분화 된 기능을 사용하려면 기존 ASP.net 멤버십 및 역할 공급자를 구축해야합니다. 역할 기반 모듈 액세스 보안 및 데이터 액세스 보안을 제공하는 http://www.visualaccesscontrol.com과 같은 타사 컨트롤도 있습니다. Visual Access Control을 사용하면 ASP.net 웹 응용 프로그램에 관리 기능을 추가하여 사용자가 수행 할 수있는 작업과 해당 역할에 따라 볼 수있는 데이터의 하위 집합을 동적으로 제한 할 수 있습니다.