การทดสอบ C # หากผู้ใช้มีสิทธิ์การเขียนไปยังโฟลเดอร์

ฉันต้องทดสอบว่าผู้ใช้สามารถเขียนไปยังโฟลเดอร์ก่อนที่จะพยายามทำเช่นนั้นจริง ๆ

ผมเคยนำมาใช้วิธีการดังต่อไปนี้ (ใน C # 2.0) ว่ามีความพยายามที่จะดึงสิทธิ์การรักษาความปลอดภัยสำหรับโฟลเดอร์โดยใช้Directory.GetAccessControl ()วิธีการ

private bool hasWriteAccessToFolder(string folderPath)
{
    try
    {
        // Attempt to get a list of security permissions from the folder. 
        // This will raise an exception if the path is read only or do not have access to view the permissions. 
        System.Security.AccessControl.DirectorySecurity ds = Directory.GetAccessControl(folderPath);
        return true;
    }
    catch (UnauthorizedAccessException)
    {
        return false;
    }
}

เมื่อฉันทำ Google วิธีทดสอบการเข้าถึงการเขียนไม่มีอะไรเช่นนี้เกิดขึ้นและมันซับซ้อนมากที่จะทดสอบการอนุญาตใน Windows ฉันกังวลว่าฉันทำสิ่งต่าง ๆ ให้ง่ายเกินไปและวิธีนี้ไม่ได้มีประสิทธิภาพแม้ว่ามันจะดูเหมือนใช้งานได้

วิธีการของฉันจะทดสอบว่าผู้ใช้ปัจจุบันมีการเข้าถึงการเขียนทำงานอย่างถูกต้องหรือไม่?

นี่เป็นวิธีที่ถูกต้องในการตรวจสอบการเข้าถึงโฟลเดอร์ใน C # สถานที่เดียวที่มันอาจล้มลงคือถ้าคุณต้องการเรียกสิ่งนี้ในการวนรอบที่แน่นซึ่งค่าใช้จ่ายของข้อยกเว้นอาจเป็นปัญหา

มีคำถามที่คล้ายกัน อื่น ๆถามก่อนหน้านี้

ฉันขอขอบคุณที่นี่สายไปเล็กน้อยในวันนี้สำหรับโพสต์นี้ แต่คุณอาจพบว่าโค้ดนี้มีประโยชน์

string path = @"c:\temp";
string NtAccountName = @"MyDomain\MyUserOrGroup";

DirectoryInfo di = new DirectoryInfo(path);
DirectorySecurity acl = di.GetAccessControl(AccessControlSections.All);
AuthorizationRuleCollection rules = acl.GetAccessRules(true, true, typeof(NTAccount));

//Go through the rules returned from the DirectorySecurity
foreach (AuthorizationRule rule in rules)
{
    //If we find one that matches the identity we are looking for
    if (rule.IdentityReference.Value.Equals(NtAccountName,StringComparison.CurrentCultureIgnoreCase))
    {
        var filesystemAccessRule = (FileSystemAccessRule)rule;

        //Cast to a FileSystemAccessRule to check for access rights
        if ((filesystemAccessRule.FileSystemRights & FileSystemRights.WriteData)>0 && filesystemAccessRule.AccessControlType != AccessControlType.Deny)
        {
            Console.WriteLine(string.Format("{0} has write access to {1}", NtAccountName, path));
        }
        else
        {
            Console.WriteLine(string.Format("{0} does not have write access to {1}", NtAccountName, path));
        }
    }
}

Console.ReadLine();

วางสิ่งนั้นลงในแอพคอนโซลและดูว่ามันทำในสิ่งที่คุณต้องการหรือไม่

public bool IsDirectoryWritable(string dirPath, bool throwIfFails = false)
{
    try
    {
        using (FileStream fs = File.Create(
            Path.Combine(
                dirPath, 
                Path.GetRandomFileName()
            ), 
            1,
            FileOptions.DeleteOnClose)
        )
        { }
        return true;
    }
    catch
    {
        if (throwIfFails)
            throw;
        else
            return false;
    }
}

ฉันลองสิ่งเหล่านี้ส่วนใหญ่ แต่พวกเขาให้ผลบวกทั้งหมดด้วยเหตุผลเดียวกัน .. มันไม่เพียงพอที่จะทดสอบไดเรกทอรีสำหรับการอนุญาตที่มีอยู่คุณต้องตรวจสอบว่าผู้ใช้ที่เข้าสู่ระบบเป็นสมาชิกของกลุ่มที่มี การอนุญาต เมื่อต้องการทำสิ่งนี้คุณจะได้รับข้อมูลประจำตัวผู้ใช้และตรวจสอบว่าเป็นสมาชิกของกลุ่มที่มี FileSystemAccessRule IdentityReference ฉันได้ทดสอบสิ่งนี้แล้วทำงานได้อย่างไร้ที่ติ ..

    /// <summary>
    /// Test a directory for create file access permissions
    /// </summary>
    /// <param name="DirectoryPath">Full path to directory </param>
    /// <param name="AccessRight">File System right tested</param>
    /// <returns>State [bool]</returns>
    public static bool DirectoryHasPermission(string DirectoryPath, FileSystemRights AccessRight)
    {
        if (string.IsNullOrEmpty(DirectoryPath)) return false;

        try
        {
            AuthorizationRuleCollection rules = Directory.GetAccessControl(DirectoryPath).GetAccessRules(true, true, typeof(System.Security.Principal.SecurityIdentifier));
            WindowsIdentity identity = WindowsIdentity.GetCurrent();

            foreach (FileSystemAccessRule rule in rules)
            {
                if (identity.Groups.Contains(rule.IdentityReference))
                {
                    if ((AccessRight & rule.FileSystemRights) == AccessRight)
                    {
                        if (rule.AccessControlType == AccessControlType.Allow)
                            return true;
                    }
                }
            }
        }
        catch { }
        return false;
    }

IMHO วิธีที่เชื่อถือได้เพียง 100% ในการทดสอบว่าคุณสามารถเขียนไปยังไดเรคทอรีได้คือการเขียนลงไปในไดเร็กตอรี่จริง ๆ และตรวจจับข้อยกเว้นในที่สุด

ตัวอย่างเช่นสำหรับผู้ใช้ทั้งหมด (Builtin \ Users) วิธีนี้ใช้งานได้ดี - เพลิดเพลิน

public static bool HasFolderWritePermission(string destDir)
{
   if(string.IsNullOrEmpty(destDir) || !Directory.Exists(destDir)) return false;
   try
   {
      DirectorySecurity security = Directory.GetAccessControl(destDir);
      SecurityIdentifier users = new SecurityIdentifier(WellKnownSidType.BuiltinUsersSid, null);
      foreach(AuthorizationRule rule in security.GetAccessRules(true, true, typeof(SecurityIdentifier)))
      {
          if(rule.IdentityReference == users)
          {
             FileSystemAccessRule rights = ((FileSystemAccessRule)rule);
             if(rights.AccessControlType == AccessControlType.Allow)
             {
                    if(rights.FileSystemRights == (rights.FileSystemRights | FileSystemRights.Modify)) return true;
             }
          }
       }
       return false;
    }
    catch
    {
        return false;
    }
}

ลองสิ่งนี้:

try
{
    DirectoryInfo di = new DirectoryInfo(path);
    DirectorySecurity acl = di.GetAccessControl();
    AuthorizationRuleCollection rules = acl.GetAccessRules(true, true, typeof(NTAccount));

    WindowsIdentity currentUser = WindowsIdentity.GetCurrent();
    WindowsPrincipal principal = new WindowsPrincipal(currentUser);
    foreach (AuthorizationRule rule in rules)
    {
        FileSystemAccessRule fsAccessRule = rule as FileSystemAccessRule;
        if (fsAccessRule == null)
            continue;

        if ((fsAccessRule.FileSystemRights & FileSystemRights.WriteData) > 0)
        {
            NTAccount ntAccount = rule.IdentityReference as NTAccount;
            if (ntAccount == null)
            {
                continue;
            }

            if (principal.IsInRole(ntAccount.Value))
            {
                Console.WriteLine("Current user is in role of {0}, has write access", ntAccount.Value);
                continue;
            }
            Console.WriteLine("Current user is not in role of {0}, does not have write access", ntAccount.Value);                        
        }
    }
}
catch (UnauthorizedAccessException)
{
    Console.WriteLine("does not have write access");
}

รหัสของคุณได้รับDirectorySecurityสำหรับไดเรกทอรีที่กำหนดและจัดการข้อยกเว้น (เนื่องจากคุณไม่สามารถเข้าถึงข้อมูลความปลอดภัย) ได้อย่างถูกต้อง อย่างไรก็ตามในตัวอย่างของคุณคุณไม่ได้ซักถามวัตถุที่ถูกส่งคืนเพื่อดูว่าอนุญาตการเข้าถึงใด - และฉันคิดว่าคุณต้องเพิ่มสิ่งนี้ใน

นี่คือคำตอบของ CsabaSรุ่นที่แก้ไขซึ่งบัญชีสำหรับกฎการเข้าถึงปฏิเสธอย่างชัดเจน ฟังก์ชั่นจะผ่าน FileSystemAccessRules ทั้งหมดสำหรับไดเรกทอรีและตรวจสอบว่าผู้ใช้ปัจจุบันอยู่ในบทบาทที่มีการเข้าถึงไดเรกทอรี หากไม่พบบทบาทดังกล่าวหรือผู้ใช้อยู่ในบทบาทที่ปฏิเสธการเข้าถึงฟังก์ชันจะส่งคืนค่าเท็จ เพื่อตรวจสอบสิทธิ์การอ่านผ่าน FileSystemRights.Read ไปยังฟังก์ชัน สำหรับสิทธิ์ในการเขียนผ่าน FileSystemRights.Write หากคุณต้องการตรวจสอบสิทธิ์ของผู้ใช้โดยพลการและไม่ใช่ของผู้ใช้ปัจจุบันให้แทนที่ผู้ใช้ WindowsIdentity ปัจจุบันสำหรับ WindowsIdentity ที่ต้องการ ฉันยังแนะนำให้ใช้ฟังก์ชันเช่นนี้เพื่อพิจารณาว่าผู้ใช้สามารถใช้ไดเรกทอรีได้อย่างปลอดภัยหรือไม่ คำตอบนี้อธิบายได้อย่างสมบูรณ์ว่าทำไม

    public static bool UserHasDirectoryAccessRights(string path, FileSystemRights accessRights)
    {
        var isInRoleWithAccess = false;

        try
        {
            var di = new DirectoryInfo(path);
            var acl = di.GetAccessControl();
            var rules = acl.GetAccessRules(true, true, typeof(NTAccount));

            var currentUser = WindowsIdentity.GetCurrent();
            var principal = new WindowsPrincipal(currentUser);
            foreach (AuthorizationRule rule in rules)
            {
                var fsAccessRule = rule as FileSystemAccessRule;
                if (fsAccessRule == null)
                    continue;

                if ((fsAccessRule.FileSystemRights & accessRights) > 0)
                {
                    var ntAccount = rule.IdentityReference as NTAccount;
                    if (ntAccount == null)
                        continue;

                    if (principal.IsInRole(ntAccount.Value))
                    {
                        if (fsAccessRule.AccessControlType == AccessControlType.Deny)
                            return false;
                        isInRoleWithAccess = true;
                    }
                }
            }
        }
        catch (UnauthorizedAccessException)
        {
            return false;
        }
        return isInRoleWithAccess;
    }

วิธีแก้ปัญหาข้างต้นนั้นดี แต่สำหรับฉันฉันพบว่ารหัสนี้ง่ายและใช้การได้ เพียงสร้างไฟล์ชั่วคราว หากไฟล์ถูกสร้างขึ้นผู้ใช้จะมีสิทธิ์เข้าถึงการเขียน

        public static bool HasWritePermission(string tempfilepath)
        {
            try
            {
                System.IO.File.Create(tempfilepath + "temp.txt").Close();
                System.IO.File.Delete(tempfilepath + "temp.txt");
            }
            catch (System.UnauthorizedAccessException ex)
            {

                return false;
            }

            return true;
        }

คุณสามารถลองบล็อกรหัสต่อไปนี้เพื่อตรวจสอบว่าไดเรกทอรีมีการเขียนการเข้าถึง มันตรวจสอบ FileSystemAccessRule

string directoryPath = "C:\\XYZ"; //folderBrowserDialog.SelectedPath;
bool isWriteAccess = false;
try
{
    AuthorizationRuleCollection collection =
        Directory.GetAccessControl(directoryPath)
            .GetAccessRules(true, true, typeof(System.Security.Principal.NTAccount));
    foreach (FileSystemAccessRule rule in collection)
    {
        if (rule.AccessControlType == AccessControlType.Allow)
        {
            isWriteAccess = true;
            break;
        }
    }
}
catch (UnauthorizedAccessException ex)
{
    isWriteAccess = false;
}
catch (Exception ex)
{
    isWriteAccess = false;
}
if (!isWriteAccess)
{
    //handle notifications 
}

คุณมีสภาวะการแข่งขันที่เป็นไปได้ในรหัสของคุณ - จะเกิดอะไรขึ้นหากผู้ใช้มีสิทธิ์ในการเขียนไปยังโฟลเดอร์เมื่อคุณตรวจสอบ แต่ก่อนที่ผู้ใช้จะเขียนลงในโฟลเดอร์จริงสิทธิ์นี้จะถูกถอนออก? การเขียนจะทำให้เกิดข้อยกเว้นซึ่งคุณจะต้องจับและจัดการ ดังนั้นการตรวจสอบครั้งแรกจึงไม่มีประโยชน์ คุณก็อาจจะเขียนและจัดการกับข้อยกเว้น นี่เป็นรูปแบบมาตรฐานสำหรับสถานการณ์ของคุณ

http://www.codeproject.com/KB/files/UserFileAccessRights.aspx

คลาสที่มีประโยชน์มากตรวจสอบรุ่นที่ปรับปรุงแล้วในข้อความตะโกน

การพยายามเข้าถึงไฟล์ที่เป็นปัญหานั้นไม่เพียงพอ การทดสอบจะดำเนินการโดยได้รับอนุญาตจากผู้ใช้ที่รันโปรแกรม - ซึ่งไม่จำเป็นว่าจะต้องได้รับอนุญาตจากผู้ใช้ที่คุณต้องการทดสอบ

ฉันเห็นด้วยกับ Ash ที่ควรจะดี อีกทางเลือกหนึ่งคือคุณสามารถใช้ CAS ที่มีการประกาศและป้องกันไม่ให้โปรแกรมทำงานในตอนแรกหากไม่สามารถเข้าถึงได้

ฉันเชื่อว่าคุณสมบัติบางอย่างของ CAS อาจไม่ปรากฏใน C # 4.0 จากสิ่งที่ฉันได้ยินไม่แน่ใจว่าอาจเป็นปัญหาหรือไม่

ฉันไม่สามารถรับ GetAccessControl () เพื่อโยนข้อยกเว้นใน Windows 7 ตามที่แนะนำในคำตอบที่ยอมรับได้

ฉันลงเอยด้วยการใช้คำตอบต่าง ๆ ของsdds :

        try
        {
            bool writeable = false;
            WindowsPrincipal principal = new WindowsPrincipal(WindowsIdentity.GetCurrent());
            DirectorySecurity security = Directory.GetAccessControl(pstrPath);
            AuthorizationRuleCollection authRules = security.GetAccessRules(true, true, typeof(SecurityIdentifier));

            foreach (FileSystemAccessRule accessRule in authRules)
            {

                if (principal.IsInRole(accessRule.IdentityReference as SecurityIdentifier))
                {
                    if ((FileSystemRights.WriteData & accessRule.FileSystemRights) == FileSystemRights.WriteData)
                    {
                        if (accessRule.AccessControlType == AccessControlType.Allow)
                        {
                            writeable = true;
                        }
                        else if (accessRule.AccessControlType == AccessControlType.Deny)
                        {
                            //Deny usually overrides any Allow
                            return false;
                        }

                    } 
                }
            }
            return writeable;
        }
        catch (UnauthorizedAccessException)
        {
            return false;
        }

หวังว่านี่จะช่วยได้

ฉันประสบปัญหาเดียวกัน: วิธีการตรวจสอบว่าฉันสามารถอ่าน / เขียนในไดเรกทอรีเฉพาะ ฉันลงเอยด้วยวิธีง่ายๆที่จะ ... ทดสอบจริง ๆ นี่คือทางออกที่เรียบง่าย แต่มีประสิทธิภาพของฉัน

 class Program
{

    /// <summary>
    /// Tests if can read files and if any are present
    /// </summary>
    /// <param name="dirPath"></param>
    /// <returns></returns>
    private genericResponse check_canRead(string dirPath)
    {
        try
        {
            IEnumerable<string> files = Directory.EnumerateFiles(dirPath);
            if (files.Count().Equals(0))
                return new genericResponse() { status = true, idMsg = genericResponseType.NothingToRead };

            return new genericResponse() { status = true, idMsg = genericResponseType.OK };
        }
        catch (DirectoryNotFoundException ex)
        {

            return new genericResponse() { status = false, idMsg = genericResponseType.ItemNotFound };

        }
        catch (UnauthorizedAccessException ex)
        {

            return new genericResponse() { status = false, idMsg = genericResponseType.CannotRead };

        }

    }

    /// <summary>
    /// Tests if can wirte both files or Directory
    /// </summary>
    /// <param name="dirPath"></param>
    /// <returns></returns>
    private genericResponse check_canWrite(string dirPath)
    {

        try
        {
            string testDir = "__TESTDIR__";
            Directory.CreateDirectory(string.Join("/", dirPath, testDir));

            Directory.Delete(string.Join("/", dirPath, testDir));


            string testFile = "__TESTFILE__.txt";
            try
            {
                TextWriter tw = new StreamWriter(string.Join("/", dirPath, testFile), false);
                tw.WriteLine(testFile);
                tw.Close();
                File.Delete(string.Join("/", dirPath, testFile));

                return new genericResponse() { status = true, idMsg = genericResponseType.OK };
            }
            catch (UnauthorizedAccessException ex)
            {

                return new genericResponse() { status = false, idMsg = genericResponseType.CannotWriteFile };

            }


        }
        catch (UnauthorizedAccessException ex)
        {

            return new genericResponse() { status = false, idMsg = genericResponseType.CannotWriteDir };

        }
    }


}

public class genericResponse
{

    public bool status { get; set; }
    public genericResponseType idMsg { get; set; }
    public string msg { get; set; }

}

public enum genericResponseType
{

    NothingToRead = 1,
    OK = 0,
    CannotRead = -1,
    CannotWriteDir = -2,
    CannotWriteFile = -3,
    ItemNotFound = -4

}

หวังว่ามันจะช่วย!

คำตอบส่วนใหญ่ที่นี่ไม่ได้ตรวจสอบการเข้าถึงเพื่อเขียน มันแค่ตรวจสอบว่าผู้ใช้ / กลุ่มสามารถ 'อ่านสิทธิ์' (อ่านรายการ ACE ของไฟล์ / ไดเรกทอรี)

การวนซ้ำผ่าน ACE และการตรวจสอบว่าตรงกับตัวระบุความปลอดภัยไม่ทำงานหรือไม่เนื่องจากผู้ใช้สามารถเป็นสมาชิกของกลุ่มที่เขาอาจได้รับ / สูญเสียสิทธิ์ ยิ่งกว่านั้นคือกลุ่มที่ซ้อนกัน

ฉันรู้ว่านี่เป็นเธรดเก่า แต่มีวิธีที่ดีกว่าสำหรับผู้ที่กำลังดูอยู่

ให้ผู้ใช้มีสิทธิ์อ่านอนุญาตคือหนึ่งสามารถใช้ Authz API เพื่อตรวจสอบการเข้าถึงที่มีประสิทธิภาพ

https://docs.microsoft.com/en-us/windows/win32/secauthz/using-authz-api

https://docs.microsoft.com/en-us/windows/win32/secauthz/checking-access-with-authz-api