Можете ли вы порекомендовать мне книгу об архитектуре авторизации и связанных с ней парадигмах?

Question

Я исхожу из фона ASP.NET и нахожу всю схему авторизации на основе ролей, которая, по меньшей мере, ограничивает. Я читал о новой модели Identity от Microsoft и Geneva Framework с основанной на претензии архитектурой, но, похоже, слишком сложно.

В целом, я хотел бы узнать больше о возможных архитектурах авторизации, чтобы узнать, что лучше всего подходит моим потребностям.

Например, роли приложения достаточно хороши, если вы хотите создать широкие роли приложения, такие как «Администратор». Но что, если у меня есть то есть. приложение для управления проектами с объектами проекта, где каждый проект имеет свой собственный набор ролей (например, «Редактор» по проектам A и «Фотограф» в проекте B) и связанные с ним разрешения.

Есть ли книги на эту тему, которые вы могли бы порекомендовать?

Answer 1

Поскольку вы пришли из фона ASP.NET, вероятно, наиболее конкретно сосредоточены книги на предмет безопасности/авторизации в рамках ASP.NET является:

Professional ASP.NET 3.5 Security, Membership, and Role Management with C# and VB

(или предыдущее издания, ориентированные на ASP.NET 2.0 и т.д.)

Существует также старше:

Programming .NET Security

Однако эти книги будут просто детализировать существующие механизмы аутентификации и авторизации, поскольку они существуют в модели членства ASP.NET и, как вы говорите, в значительной степени основаны на настройке пользователя/роли.

Если вы хотите остаться в пределах мира Microsoft/.NET, то стоит взглянуть на модель федеративной безопасности , которая может использоваться такими технологиями, как WCF (Windows Communication Foundation). Этот механизм позволяет относительно легкий подход к управлению безопасностью и облегчает выполнение того, что вы делаете в своем примере (ProjectA: Editor/ProjectB: Photographer).

Некоторые ссылки на этом являются:

Federation (from MSDN)
Federation and Issued Tokens
patterns & practices: WCF Security Guidance Learning WCF Book - Federated Security Section

Если вы после того, как более общий или общий подход к механизмам безопасности и аутентификации/авторизации, достаточно платформа агностик , некоторые хорошие ресурсы/книги будут такими:

Designing Security Architecture Solutions
(В этой книге подробно различные концепции безопасности и архитектуры не только для аутентификации/авторизации пользователей, но и для таких понятий, как code access security)

Существует также:

Enterprise Security Architecture: A Business-Driven Approach
(Как это следует из названия, это немного более «бизнес» сфокусирован и в основном фокусируется на методологии SABSA (Sherwood Applied Business Security Architecture))