asp.net-web-api – 使用WIF和OWIN中间件的角色与声明授权Asp.ne

如您所述,角色被添加为声明类型.因此,在交货方面,它没有任何区别.但是MVC / WebApi已经有内置的基础设施来处理角色,并且如果用户没有所需的角色则拒绝.所以你不必自己做很多事情.
但是你必须在控制器/操作上提出一些属性,并确保它们都存在于数据库中,因此可以将用户分配给它们.

但是我发现你可以拥有太多的角色,而且他们的维护成本太高了.此外,您不能为用户分配太多角色 – 他们的身份验证cookie将变得庞大,最终由于浏览器中的cookie大小限制而无法登录(每个cookie 4K,所有HTTP头16K).

声称您可以更灵活.您可以有许多不同类型的声明(我们每个控制器少于一个)和一些声明值(读取,创建,编辑,删除).对于下降大小的应用程序(我们有100以上),您将需要有很多角色(每个控制器4个)来建模这种级别的权限控制.对于声明,我们有声明类型(人物,产品,订单)的枚举和声明值的枚举(创建,读取,删除).在cookie中,您可以将整数设置为声明类型和声明值 – 这可以在身份验证cookie上节省大量空间.

但有了声明,您必须自己编写身份验证机制的代码.

我一直在玩这个概念here,这对于MVC来说是authentication filter,但是WebApi过滤器看起来非常相似.现在这个原型的结果正在生产中并且运行良好.

总的来说,你的问题的答案是“它取决于”.主要是关于身份验证的细化程度以及应用程序的大小.