Izin / model / pola yang tepat untuk aplikasi .NET

Saya perlu menerapkan fleksibel DAN sederhana (jika ada) dan pada saat yang sama menggunakan sarana bawaan jika memungkinkan

Sejauh ini saya telah menerapkan MembershipProvider dan RoleProviders. Ini keren tapi kemana saya harus pergi selanjutnya?

Saya merasa seperti saya perlu menambahkan istilah "Priviledge" dan daripada hardcode yang ada di dalam aplikasi. Pengguna akan mengonfigurasi peran untuk menambahkan Privilidges ke Peran dan menetapkan Peran kepada pengguna.

Apakah itu terdengar seperti model yang bagus? Haruskah saya berpikir tentang menambahkan hak istimewa di tingkat Pengguna selain menambahkannya ke Peran? Saya mungkin tetapi saya membayangkan masalah dengan pengaturan (membingungkan) dan dukungan berikut.

Jika saya tidak melakukan itu dan beberapa pengguna tertentu akan membutuhkan hak istimewa yang lebih rendah - admin harus membuat peran lain, dll.

Adakah peluru perak untuk sistem seperti ini? Dan mengapa Microsoft tidak melangkah lebih jauh dari sekadar penyedia Keanggotaan dan Peran?

Gagasan lain: Tinggalkan Peran sebagai pemegang "hak pribadi" dan hardcode mereka. Lalu saya bisa kode untuk peran-peran di dalam aplikasi menggunakan semua markup / atribut yang tersedia, dll - semua Microsoft.

Tambahkan entitas baru "Grup" dan buat hubungan seperti ini

• Pengguna
• Grup Pengguna
• Grup
• RoleGroups
• Peran

Dengan cara ini saya dapat mengumpulkan Peran ke dalam grup dan menugaskan grup tersebut ke Pengguna. Kedengarannya hebat dan cocok dengan pola perangkat lunak lainnya. Tapi kemudian saya tidak bisa benar-benar mengimplementasikan hal-hal di dalam RoleProvider seperti:

• AddUsersToRoles
• RemoveUsersFromRoles

Dan beberapa hal tidak benar-benar masuk akal lagi karena mereka akan dikodekan dengan keras

• DeleteRole
• Buat Peran

Jika otorisasi berbasis peran tidak cukup granular untuk Anda, maka pertimbangkan untuk menggunakan Otorisasi Berbasis Klaim .

Klaim menggambarkan sumber daya dan aktivitas - semacam entri di ACL, tetapi lebih fleksibel, karena "sumber daya" tidak harus berupa objek fisik, bisa berupa apa pun yang Anda inginkan dan dapat berisi informasi apa pun kamu ingin.

Dalam model ini, klaim setara dengan apa yang Anda sebut "hak istimewa", dan Anda mengelompokkan klaim ke dalam set klaim, yang kira-kira setara dengan apa yang Anda sebut "peran". Semua API ini dan lainnya sudah ada di System.IdentityModelnamespace.

Tentu saja Anda menyebutkan MembershipProviderdan RoleProviderdan jika Anda mencoba menjejalkan semua ini ke dalam model keanggotaan ASP.NET (seperti yang tersirat dari nama-nama itu), maka lupakan saja. Jika Anda ingin menggunakan API penyedia tersebut, maka Anda harus melakukannya dengan caranya sendiri, dan caranya tidak lebih terperinci daripada konsep peran.

Sebaliknya, di ASP.NET, konsep "hak istimewa" sebenarnya disandikan di tingkat tindakan atau operasi , di mana Anda menyatakan peran mana yang diizinkan untuk melakukan tindakan itu. Ini benar-benar jauh lebih mudah untuk ditangani dalam ASP.NET MVC di mana Anda baru saja menampar [AuthorizeAttribute]pada tindakan pengontrol atau pengontrol; di ASP.NET "old-school", Anda menangani acara, jadi otorisasi cenderung bersifat ad-hoc atau di tingkat halaman (atau keduanya).