Können Sie mir ein Buch über Autorisierungsarchitektur und zugehörige Paradigmen empfehlen?

Question

Ich komme aus einem ASP.NET-Hintergrund und finde das gesamte rollenbasierte Autorisierungsschema, um es gelinde auszudrücken. Ich habe über das neue Identitätsmodell von Microsoft und das Geneva Framework mit seiner Claims-basierten Architektur gelesen, aber es scheint übermäßig komplex zu sein.

Im Allgemeinen möchte ich mehr über mögliche Autorisierungsarchitekturen wissen, um herauszufinden, was am besten zu meinen Bedürfnissen passt.

Zum Beispiel scheinen die anwendungsweiten Rollen gut genug zu sein, wenn Sie anwendungsweite Rollen wie "Administrator" erstellen möchten. Aber was, wenn ich ie. eine Projektverwaltungsanwendung mit Projekteinheiten, bei denen jedes Projekt seine eigenen Rollen hat ("Editor" für Projekt A und "Fotograf" für Projekt B) und zugehörige Berechtigungen.

Gibt es Bücher zu diesem Thema, die Sie empfehlen können?

Answer 1

Da Sie von einem ASP.NET Hintergrund anreisen, wahrscheinlich das speziell konzentrierte Buch über das Thema Sicherheit/Autorisierung innerhalb des ASP.NET-Framework ist:

Professional ASP.NET 3.5 Security, Membership, and Role Management with C# and VB

(oder es ist vorherige Ausgaben, die ASP.NET 2.0 Ziel etc.)

Es gibt auch die ältere:

Programming .NET Security

Diese Bücher beschreiben jedoch einfach die vorhandenen Authentifizierungs- und Autorisierungsmechanismen, wie sie im ASP.NET-Mitgliedschaftsmodell existieren, und basieren, wie Sie sagen, stark auf einer Benutzer-/Rollenkonfiguration.

Wenn Sie schauen, speziell innerhalb der Microsoft/.NET-Welt zu bleiben, eine Sache, die Modell föderierten Sicherheit wert sein könnte Blick in der das , die durch Technologien wie WCF (Windows Communication Foundation) eingesetzt werden kann. Dieser Mechanismus ermöglicht einen relativ einfachen Ansatz für das Sicherheitsmanagement und erleichtert die Ausführung von Dingen, die Sie in Ihrem Beispiel verfolgen (ProjectA: Editor/ProjectB: Photographer).

Einige Links auf diesen sind:

Federation (from MSDN)
Federation and Issued Tokens
patterns & practices: WCF Security Guidance Learning WCF Book - Federated Security Section

Wenn Sie nach einem allgemeineren oder generischen Ansatz für die Sicherheit und Authentifizierung/Autorisierung Mechanismen sind, die ziemlich Plattform ist Agnostiker , einige gute Quellen/Bücher wären:

Designing Security Architecture Solutions
(Dieses Buch beschreibt verschiedene Sicherheitskonzepte und Architekturen nicht nur für die Authentifizierung/Autorisierung von Benutzern, sondern auch für Konzepte wie code access security)

Es auch ist:

Enterprise Security Architecture: A Business-Driven Approach
(Wie der Name schon vermuten lässt, ist es ein bisschen mehr "Business" konzentriert, und konzentriert sich in erster Linie auf die SABSA (Sherwood Applied Business Security Architecture) Methodik)