SlideShare una empresa de Scribd logo

Authorization in.Net Core

Descargar como PPTX, PDF
Hugo Biarge, profile picture
Hugo Biarge

El documento habla sobre autorización en .NET Core. Explica que la autorización determina qué información y acciones puede realizar un usuario basado en sus claims (datos de identidad), y posiblemente el estado del recurso. Luego describe que la autorización en .NET Core se basa en políticas de autorización compuestas por requisitos y manejadores, los cuales determinan si se concede o no el acceso. Finalmente, cubre temas como políticas simples y basadas en código, autorización imperativa y basada en recursos, y el uso de diferentes esque

Software
1 de 17
Descargar para leer sin conexión
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
Authorization in.Net Core
Hugo Biarge Software Engineer at adidas hugo.biarge@adidas.com @hbiarge
Agenda • De dónde venimos • Authorization Policies • Requerimientos sencillos basados en información del usuario • Requerimientos basados en código • Autorización en función del estado del recurso • Uso de diferentes esquemas https://github.com/hbiarge/Authorization-Workshop
Authentication vs Authorization Autenticación Identificar elementos de autenticación en la petición, interpretarlos y crear instancia de ClaimsPrincipal con los claims del usuario Autorización En base a los claims del usuario (y del estado del recurso al que accede), que información puede obtener y/o qué acciones puede realizar
De dónde venimos • [Authorize] y [AllowAnonymous] en WebApi y MVC de full Framework • Único mecanismo existente “out of the box” • Soporte de roles y usuarios • Implementado como un filtro de Autenticación • Determina el momento del procesamiento de la petición en el que el código se ejecuta
ClaimsPrincipal and ClaimsIdentity • ClaimsPrincipal agrega los Claims de una o varias identidades con las que se puede haber autenticado la petición • Cada ClaimsIdentity contiene el conjunto de Claims de un esquema de autenticación • Un Claim es una estructura que define: • Name: Clave (puede haber duplicados) • Value: Valor • Issuer: Quién lo ha emitido
Setup de los ejemplos • TestHost • Acheve.TestHost.Security
Pero… en .Net Core es igual, no? • [Authorize] y [AllowAnonymous] también existen en .Net Core • Hace que el uso básico de los atributos tenga el mismo resultado que en versions anteriores • La infraestructura subyacente es completamente nueva • Soporta solo Roles (por motivos de compatibilidad) y Policies
Políticas de autorización • Compuestas por uno o más Requirements • Un Requirement es gestionado por uno o más Handlers • Una Política será satisfecha (autorizada) si TODOS los Requirements son autorizados • Un Requirement está autorizado si por lo menos uno de sus Handlers lo autoriza • Por defecto, se evalúan todos los Handlers registrados para un Requirement aunque alguno falle
Infraestructura de autorización • Requirements y Handlers • IAuthorizationRequirement • AuthorizationHandler<IAuthorizationRequirement> • AuthorizationHandler<IAuthorizationRequirement, Resource> • El Requirement define el contexto de autorización • Proporciona el estado • El Handler define la lógica de autorización teniendo en cuenta: • Contexto de autorización • Requirement • (opcionalmente) El recurso a autorizar
Lógica de autorización (Handlers) • Si la autorización es correcta -> context.Succeed(requirement) • Si la autorización NO es correcta -> no hacer nada! • Puede haber otros Handlers para el mismo Requirement • Sólo en casos extremos -> context.Fail()
Políticas sencillas // In Startup ConfigureServices services.AddAuthorization(options => { options.AddPolicy("RequireAdministration", policy => { policy.RequireRole("Administration"); policy.RequireClaim("Management"); policy.RequireClaim("OneOfMany", "a", "b"); }); });
Políticas como código public class MinimumAgeRequirement : AuthorizationHandler<MinimumAgeRequirement>, IAuthorizationRequirement { protected override void Handle( AuthorizationContext context, MinimumAgeRequirement requirement) { // Logic to validate requirement context.Succeed(requirement); } } // In Startup ConfigureServices options.AddPolicy("Over18Only", policy => { policy.Requirements.Add(new MinimumAgeRequirement(18)); });
Autorización imperativa IAuthorizationService en Controladores o Vistas public async Task<IActionResult> Index() { if (await _authorizationService.AuthorizeAsync(User, Policies.Over21)) { // User is authorized here. } else { return new ChallengeResult(); } }
Autorización basada en recursos • AuthorizationHandler<Requirement, Resource> • En el método Handle tenemos acceso al recurso de forma tipada public class ProductAuthorizationHandler : AuthorizationHandler<OperationAuthorizationRequirement, Product> { protected override void Handle( AuthorizationContext context, OperationAuthorizationRequirement requirement, Product resource) { // Logic to validate requirement } }
Diferentes esquemas de autorización • Podemos definirlos tanto en las políticas como en el atributo [Authorize] • Mezcla en el ClaimsPrincipal una ClaimsIdentity por cada esquema requerido • El ClaimsPrincipal expone todos los claims agregados de todos los ClaimsIdentity definidos • Redefine el esquema de autenticación predefinido
Gracias! ¿Preguntas?

Más contenido relacionado

PPTX
Security in MVC Core by Hugo Biarge
Plain Concepts
 
PPTX
Autenticación, autorización y control de acceso
LissMendietaPardo
 
PDF
REST - deSymfony2012
Asier Marqués
 
PDF
AWS Summits América Latina 2015-Mejores Prácticas de Seguridad para IAM (Iden...
Amazon Web Services LATAM
 
PPTX
Strust
nolasco2014
 
PPT
Apache2 dia1
lyonel_cc
 
PPTX
GAM GeneXus Access Manager
GeneXus
 
PDF
Autenticación en aplicaciones .Net web y nativas
Hugo Biarge
 
Security in MVC Core by Hugo Biarge
Plain Concepts
 
Autenticación, autorización y control de acceso
LissMendietaPardo
 
REST - deSymfony2012
Asier Marqués
 
AWS Summits América Latina 2015-Mejores Prácticas de Seguridad para IAM (Iden...
Amazon Web Services LATAM
 
Strust
nolasco2014
 
Apache2 dia1
lyonel_cc
 
GAM GeneXus Access Manager
GeneXus
 
Autenticación en aplicaciones .Net web y nativas
Hugo Biarge
 

Último (11)

PPTX
Derechos_de_Autor_y_Creative_Commons.pptx
RuselCondor
 
PPTX
Conceptos basicos de Base de Datos y sus propiedades
EverPadillaVanegas2
 
PPTX
Fundamentos de Python - Curso de Python dia 1
Juansonmiedo
 
PDF
Clase 3 - Presentación visual (Insertando objetos visuales) POWER POINT.pdf
PatriciaFerrer27
 
PDF
Su punto de partida en la IA: Microsoft 365 Copilot Chat
Cade Soluciones
 
DOCX
trabajo programacion.docxxdxxxddxdxxdxdxxxdxxdxdxd
sandovaljeampier54
 
PPTX
ORIGEN DE LA IA - GRADO 1102 INTELIGENCIA
SantiagoReyes275254
 
PDF
AutoCAD Herramientas para el futuro, Juan Fandiño
jafandino
 
PPTX
Tratará sobre Grafos_y_Arboles_Presentacion.pptx
andersoneliasburet
 
PPTX
Implementación equipo monitor12.08.25.pptx
HochOli1
 
PPTX
sistemas de informacion.................
francowjc05
 
Derechos_de_Autor_y_Creative_Commons.pptx
RuselCondor
 
Conceptos basicos de Base de Datos y sus propiedades
EverPadillaVanegas2
 
Fundamentos de Python - Curso de Python dia 1
Juansonmiedo
 
Clase 3 - Presentación visual (Insertando objetos visuales) POWER POINT.pdf
PatriciaFerrer27
 
Su punto de partida en la IA: Microsoft 365 Copilot Chat
Cade Soluciones
 
trabajo programacion.docxxdxxxddxdxxdxdxxxdxxdxdxd
sandovaljeampier54
 
ORIGEN DE LA IA - GRADO 1102 INTELIGENCIA
SantiagoReyes275254
 
AutoCAD Herramientas para el futuro, Juan Fandiño
jafandino
 
Tratará sobre Grafos_y_Arboles_Presentacion.pptx
andersoneliasburet
 
Implementación equipo monitor12.08.25.pptx
HochOli1
 
sistemas de informacion.................
francowjc05
 
Publicidad

Destacado (20)

PDF
2024 Trend Updates: What Really Works In SEO & Content Marketing
Search Engine Journal
 
PDF
Storytelling For The Web: Integrate Storytelling in your Design Process
Chiara Aliotta
 
PDF
Artificial Intelligence, Data and Competition – SCHREPEL – June 2024 OECD dis...
OECD Directorate for Financial and Enterprise Affairs
 
PDF
How to Leverage AI to Boost Employee Wellness - Lydia Di Francesco - SocialHR...
SocialHRCamp
 
PDF
2024 State of Marketing Report – by Hubspot
Marius Sescu
 
PDF
Everything You Need To Know About ChatGPT
Expeed Software
 
PDF
Product Design Trends in 2024 | Teenage Engineerings
Pixeldarts
 
PDF
How Race, Age and Gender Shape Attitudes Towards Mental Health
ThinkNow
 
PDF
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
marketingartwork
 
PDF
Skeleton Culture Code
Skeleton Technologies
 
PDF
PEPSICO Presentation to CAGNY Conference Feb 2024
Neil Kimberley
 
PDF
Content Methodology: A Best Practices Report (Webinar)
contently
 
PPTX
How to Prepare For a Successful Job Search for 2024
Albert Qian
 
PDF
Social Media Marketing Trends 2024 // The Global Indie Insights
Kurio // The Social Media Age(ncy)
 
PDF
Trends In Paid Search: Navigating The Digital Landscape In 2024
Search Engine Journal
 
PDF
5 Public speaking tips from TED - Visualized summary
SpeakerHub
 
PDF
ChatGPT and the Future of Work - Clark Boyd
Clark Boyd
 
PDF
Getting into the tech field. what next
Tessa Mero
 
PDF
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Lily Ray
 
PDF
How to have difficult conversations
Rajiv Jayarajah, MAppComm, ACC
 
2024 Trend Updates: What Really Works In SEO & Content Marketing
Search Engine Journal
 
Storytelling For The Web: Integrate Storytelling in your Design Process
Chiara Aliotta
 
Artificial Intelligence, Data and Competition – SCHREPEL – June 2024 OECD dis...
OECD Directorate for Financial and Enterprise Affairs
 
How to Leverage AI to Boost Employee Wellness - Lydia Di Francesco - SocialHR...
SocialHRCamp
 
2024 State of Marketing Report – by Hubspot
Marius Sescu
 
Everything You Need To Know About ChatGPT
Expeed Software
 
Product Design Trends in 2024 | Teenage Engineerings
Pixeldarts
 
How Race, Age and Gender Shape Attitudes Towards Mental Health
ThinkNow
 
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
marketingartwork
 
Skeleton Culture Code
Skeleton Technologies
 
PEPSICO Presentation to CAGNY Conference Feb 2024
Neil Kimberley
 
Content Methodology: A Best Practices Report (Webinar)
contently
 
How to Prepare For a Successful Job Search for 2024
Albert Qian
 
Social Media Marketing Trends 2024 // The Global Indie Insights
Kurio // The Social Media Age(ncy)
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
Search Engine Journal
 
5 Public speaking tips from TED - Visualized summary
SpeakerHub
 
ChatGPT and the Future of Work - Clark Boyd
Clark Boyd
 
Getting into the tech field. what next
Tessa Mero
 
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Lily Ray
 
How to have difficult conversations
Rajiv Jayarajah, MAppComm, ACC
 
Publicidad

Authorization in.Net Core

  • 2. Hugo Biarge Software Engineer at adidas hugo.biarge@adidas.com @hbiarge
  • 3. Agenda • De dónde venimos • Authorization Policies • Requerimientos sencillos basados en información del usuario • Requerimientos basados en código • Autorización en función del estado del recurso • Uso de diferentes esquemas https://github.com/hbiarge/Authorization-Workshop
  • 4. Authentication vs Authorization Autenticación Identificar elementos de autenticación en la petición, interpretarlos y crear instancia de ClaimsPrincipal con los claims del usuario Autorización En base a los claims del usuario (y del estado del recurso al que accede), que información puede obtener y/o qué acciones puede realizar
  • 5. De dónde venimos • [Authorize] y [AllowAnonymous] en WebApi y MVC de full Framework • Único mecanismo existente “out of the box” • Soporte de roles y usuarios • Implementado como un filtro de Autenticación • Determina el momento del procesamiento de la petición en el que el código se ejecuta
  • 6. ClaimsPrincipal and ClaimsIdentity • ClaimsPrincipal agrega los Claims de una o varias identidades con las que se puede haber autenticado la petición • Cada ClaimsIdentity contiene el conjunto de Claims de un esquema de autenticación • Un Claim es una estructura que define: • Name: Clave (puede haber duplicados) • Value: Valor • Issuer: Quién lo ha emitido
  • 7. Setup de los ejemplos • TestHost • Acheve.TestHost.Security
  • 8. Pero… en .Net Core es igual, no? • [Authorize] y [AllowAnonymous] también existen en .Net Core • Hace que el uso básico de los atributos tenga el mismo resultado que en versions anteriores • La infraestructura subyacente es completamente nueva • Soporta solo Roles (por motivos de compatibilidad) y Policies
  • 9. Políticas de autorización • Compuestas por uno o más Requirements • Un Requirement es gestionado por uno o más Handlers • Una Política será satisfecha (autorizada) si TODOS los Requirements son autorizados • Un Requirement está autorizado si por lo menos uno de sus Handlers lo autoriza • Por defecto, se evalúan todos los Handlers registrados para un Requirement aunque alguno falle
  • 10. Infraestructura de autorización • Requirements y Handlers • IAuthorizationRequirement • AuthorizationHandler<IAuthorizationRequirement> • AuthorizationHandler<IAuthorizationRequirement, Resource> • El Requirement define el contexto de autorización • Proporciona el estado • El Handler define la lógica de autorización teniendo en cuenta: • Contexto de autorización • Requirement • (opcionalmente) El recurso a autorizar
  • 11. Lógica de autorización (Handlers) • Si la autorización es correcta -> context.Succeed(requirement) • Si la autorización NO es correcta -> no hacer nada! • Puede haber otros Handlers para el mismo Requirement • Sólo en casos extremos -> context.Fail()
  • 12. Políticas sencillas // In Startup ConfigureServices services.AddAuthorization(options => { options.AddPolicy("RequireAdministration", policy => { policy.RequireRole("Administration"); policy.RequireClaim("Management"); policy.RequireClaim("OneOfMany", "a", "b"); }); });
  • 13. Políticas como código public class MinimumAgeRequirement : AuthorizationHandler<MinimumAgeRequirement>, IAuthorizationRequirement { protected override void Handle( AuthorizationContext context, MinimumAgeRequirement requirement) { // Logic to validate requirement context.Succeed(requirement); } } // In Startup ConfigureServices options.AddPolicy("Over18Only", policy => { policy.Requirements.Add(new MinimumAgeRequirement(18)); });
  • 14. Autorización imperativa IAuthorizationService en Controladores o Vistas public async Task<IActionResult> Index() { if (await _authorizationService.AuthorizeAsync(User, Policies.Over21)) { // User is authorized here. } else { return new ChallengeResult(); } }
  • 15. Autorización basada en recursos • AuthorizationHandler<Requirement, Resource> • En el método Handle tenemos acceso al recurso de forma tipada public class ProductAuthorizationHandler : AuthorizationHandler<OperationAuthorizationRequirement, Product> { protected override void Handle( AuthorizationContext context, OperationAuthorizationRequirement requirement, Product resource) { // Logic to validate requirement } }
  • 16. Diferentes esquemas de autorización • Podemos definirlos tanto en las políticas como en el atributo [Authorize] • Mezcla en el ClaimsPrincipal una ClaimsIdentity por cada esquema requerido • El ClaimsPrincipal expone todos los claims agregados de todos los ClaimsIdentity definidos • Redefine el esquema de autenticación predefinido