Pouvez-vous me recommander un livre sur l'architecture d'autorisation et les paradigmes associés?

Question

Je viens d'un environnement ASP.NET et je trouve le schéma d'autorisation basé sur les rôles dans son ensemble, limitant pour le moins. J'ai lu sur le nouveau modèle d'identité de Microsoft et le cadre de Genève avec son architecture basée sur les revendications, mais il semble trop complexe.

En général, j'aimerais en savoir plus sur les architectures d'autorisation possibles pour savoir ce qui correspond le mieux à mes besoins. Par exemple, les rôles à l'échelle de l'application semblent être assez bons si vous voulez créer, bien, des rôles à l'échelle de l'application, comme "Administrateur". Mais que faire si je l'ai. une application de gestion de projet avec des entités de projet où chaque projet a son propre ensemble de rôles ("Editeur" sur le projet A et "Photographe" sur le projet B par exemple) et les autorisations associées.

Y a-t-il des livres sur ce sujet que vous pourriez recommander?

Answer 1

Puisque vous venez d'un arrière-plan ASP.NET, probablement le livre le plus spécifiquement axé sur le thème de la sécurité/autorisation dans le cadre ASP.NET est:

Professional ASP.NET 3.5 Security, Membership, and Role Management with C# and VB

(ou il est précédent éditions qui ciblent ASP.NET 2.0, etc.)

Il y a aussi les plus âgés:

Programming .NET Security

Toutefois, ces manuels détailleront simplement les mécanismes d'authentification et d'autorisation existants tels qu'ils existent dans le modèle d'appartenance ASP.NET et, comme vous le dites, sont fortement basés sur une configuration utilisateur/rôle. Si vous cherchez à rester spécifiquement dans le monde Microsoft/.NET, une chose qui pourrait valoir la peine dans le modèle sécurité fédérée qui peut être employé par des technologies telles que WCF (Windows Communication Foundation). Ce mécanisme permet une approche relativement légère de la gestion de la sécurité et facilite l'exécution de ce que vous recherchez dans votre exemple (ProjectA: Editor/ProjectB: Photographer).

Quelques liens sur ce sont:

Federation (from MSDN)
Federation and Issued Tokens
patterns & practices: WCF Security Guidance Learning WCF Book - Federated Security Section

Si vous êtes après une approche plus générale ou générique des mécanismes de sécurité et d'authentification/autorisation qui est la plate-forme assez agnostique , quelques bonnes ressources/livres seraient:

Designing Security Architecture Solutions
(Ce livre détaille les différents concepts de sécurité et des architectures non seulement pour l'authentification/autorisation des utilisateurs, mais aussi pour des concepts tels que code access security)

Il y a aussi:

Enterprise Security Architecture: A Business-Driven Approach
(Comme son nom l'indique, il est un peu plus "axé sur les affaires", et se concentre principalement sur la méthodologie SABSA (Sherwood Applied Business Security Architecture))