System.Addin - 创建安全的 ASP.NET MVC 插件答案

【问题标题】：System.Addin - Creating secured ASP.NET MVC pluginsSystem.Addin - 创建安全的 ASP.NET MVC 插件
【发布时间】：2012-05-24 15:24:02
【问题描述】：

最近我的重点是创建一个可以托管 3rd 方 MVC 插件的 ASP.NET MVC 应用程序。理想情况下，这些插件的开发应遵循以下规则：

经过一些研究，我想出了以下方法来实现这一点，每种方法都有自己的优点和缺点。

方法 1 - MVC 插件程序集加载到主 MVC AppDomain

工作流程

在单独的 MVC 项目中开发插件。
编译程序集并通过 PreApplicationStartMethodAttribute、MEF 或宿主项目中的基本程序集引用（如果可能）将它和任何依赖项加载到宿主应用程序中。
映射到插件控制器的路由，以便插件在主机中被视为Area。
将插件视图放入正确的区域文件夹中。需要更改布局文件，以便布局路径指向基于区域的位置，而不是应用程序的根目录（开发 MVC 项目中就是这种情况）
当插件请求进入时，ASP.NET 将使用现有区域功能将请求路由到正确的控制器并在正确的位置查找视图文件。

优势

将像控制器嵌入到主机 MVC 应用程序集中一样无缝地工作。
在应用程序启动之前（PreApplicationStartMethodAttribute，项目参考）和应用程序启动之后（MEF）将程序集包含到宿主应用程序域中很简单

缺点

结论

这是最简单的方法，但也是最不安全的。它基本上消除了允许不受信任的开发人员创建插件的可能性，因为这些插件将具有与宿主应用程序相同的信任级别（这意味着如果宿主应用程序可以执行诸如 System.IO.File.Delete 之类的方法，那么插件也可以）

这种方法旨在允许创建 MVC 插件，这些插件可以被沙箱化到它们自己的 AppDomains 中，并由主机通过 System.Addin 库使用。

结构

在主机中设置了一个路由，用于确定正在处理的 url 是否针对插件。可能有example.com/p/{plugin}/{controller}/{action}/{id}
具有上述模式的所有路由都映射到具有模块路由操作的主机控制器。该操作会查看任何给定的路由，并根据 {plugin} 段确定适当的插件来处理请求。
插件视图是一个接收器/发送器对象，充当插件控制器的网关。它有一个名为 AcceptRequest 的方法，从主机接收RequestContext，并返回ActionResult。
插件管道包含可以序列化RequestContext和ActionResult的适配器，以便跨管道的隔离边界进行传输。

执行流程

匹配插件的路由并调用插件路由控制器。
控制器将所需插件加载到它自己的AppDomain 并调用AcceptRequest，通过RequestContext（通过管道序列化）
AcceptRequest 接收上下文并根据该请求确定要执行的适当控制器（使用自定义控制器工厂）。
一旦控制器完成了请求的执行，它会返回一个ActionResult给接收者对象，然后接收者对象将ActionResult（也通过管道序列化）传回给主机AppDomain。
最初调用 AcceptRequest 的控制器随后可以将 ActionResult 返回到主机 MVC 执行管道，就好像它自己处理了请求一样。如果需要，可以卸载插件AppDomain。

优势

插件将在AppDomain 中进行沙盒处理，因此可以使用适合主机的任何权限集。

缺点

结论

这种方法在纸面上听起来不错，但我不确定序列化 RequestContext 和 ActionResult 对象是否可能/是否可行，以及单独运行 MVC 控制器。

如果代码是由受信任的开发人员创建的，则第一种方法很好。我知道我不会删除所有主机视图文件或它的 web.config 文件。但最终，如果您希望第三方开发人员为您的 MVC 应用程序创建插件，您需要能够对他们的代码进行沙箱处理。

根据我的所有研究，当您使用基于 API 的简单类库时，System.Addin 库可以轻松实现主机/插件环境。然而，当涉及到 MVC 时，似乎并不容易做到这一点。

我的一些问题是：

【问题讨论】：

MAF 是一个非常强大的工具。请注意，您首先有一些非常崇高的目标试图做到这一点。我想让你问自己，'通过让 MVC-host-site 控制插件 AppDomain 来达到什么目的'？相反，我会走使插件独立于网站的路线（使用 sep.AppPools），并促进某种带外方式让插件与主机相互通信。将所有复杂性推迟到部署时间，并使实际运行时尽可能接近标准 MVC。（事实上，我刚刚在工作中使用过这种方法）
@ChrisPaynter -- 你有没有找到一个好的解决方案？我也在寻找一个，我唯一遇到的是 Umbraco 方式（中等信任时的影子复制 DLL）。
不，我最终放弃了它。这对我需要的东西来说太过分了。请注意，我学到了很多关于框架信任的知识，所以值得。

【解决方案1】：

您最终将为每个插件创建单独的站点。这样，您可以为每个 AppPool 创建降低权限的用户，系统管理员可以将“插件”安装为在该用户下运行的网站。

任何替代方案都将展示内部平台反模式。除非您有大量时间和金钱来开发插件托管系统，否则您将陷入其中并憎恨它。我根据经验说话。

这些站点可以共享 AspnetIdentity 用户存储库，并且您可以将核心对象作为可以引用的 dll 提供。在 CDN 上托管您的内容（脚本文件、css、图像），以便可以引用它们。如果您想与您的子站点共享视图，请将它们编译为资源：

祝你好运！

【讨论】：

【解决方案2】：

恕我直言，System.AddIn 对于您正在尝试做的事情来说有点矫枉过正。

您熟悉System.Security.Permissions 命名空间吗？如果没有，您可以查看FileIOPermission。也许您可以通过使用（为什么不，甚至扩展）.NET 的Code Access Security 机制来沙箱化您的可扩展系统。

【讨论】：

我已经研究过了，但是据我了解，这种方法并不合理，好像所有代码都在同一个 AppDomain 中，无论如何它都受到相同的安全信任级别的约束。我不想走扩展 CAS 的路。