Механізми управління доступом

За допомогою Windows Communication Foundation (WCF) можна контролювати доступ декількома способами. У наступному розділі описуються різні механізми і наводяться міркування про те, коли і який спосіб використовувати; розділ повинен допомогти користувачеві вибрати правильний механізм використання. Технології доступу перераховані в порядку складності. Найпростішим є PrincipalPermissionAttribute; найскладнішим - модель посвідчення.

Крім цих механізмів, в Делегування і уособлення з використанням WCF пояснюється уособлення і делегування за допомогою WCF.

Для обмеження доступу до методу служби використовується PrincipalPermissionAttribute. Коли атрибут застосовується до методу, він може використовуватися для запиту ідентифікації заданого викликає або членства в групі Windows або ролі ASP.NET. Якщо справжність клієнта перевірена за допомогою сертифіката X.509, клієнту дається первинне посвідчення, що складається з імені суб'єкта і відбитка сертифіката.

Для контролю доступу до ресурсів на комп'ютері, на якому працює служба, використовується PrincipalPermissionAttribute. якщо користувачі служби завжди будуть частиною того ж домена Windows, на якому працює служба. Можна легко створити групи Windows, які мають заданий рівень доступу (такий як відсутність доступу, тільки для читання або читання і запис).

Функція ASP.NET є постачальником членства за умовчанням. Навіть якщо постачальник членства технічно не є механізмом контролю доступу, він дозволяє контролювати доступ до служби шляхом обмеження набору можливих посвідчень, які можуть отримати доступ до кінцевої точки служби. Функція членства включає в себе базу даних, яка може бути заповнена комбінаціями імені / пароля, що дозволяє користувачам веб-сайту створювати облікові записи на сайті. Для доступу до служби, яка використовує постачальника членства, користувач повинен увійти в систему зі своїми ім'ям користувача і паролем.

Додаткові відомості про використання функції членства в службі WCF см. Як використовувати постачальник членства ASP.NET.

Крім того, можна використовувати постачальник ролей ASP.NET, якщо є база даних існуючого постачальника ролей ASP.NET і потрібно використовувати той же набір правил і призначень користувача в своїй службі WCF.

Додаткові відомості про використання функції постачальника ролей см. Як використовувати постачальник ролей ASP.NET зі службою.

Одним із прикладів, де можна скористатися контролем доступу на базі вимоги моделі посвідчення, є використання облікових даних федерації в сценарії виданого токена. Додаткові відомості про про федераціях і виданих токенах см. В розділі Федерація і видані маркери.

Схожі статті