CIAM 102: التفويض والتحكم في الوصول القائم على الأدوار
التنظيم والمستأجر رائعان لتجميع الهويات، ولكن يؤديان إلى ديمقراطية مطلقة: يمكن للجميع فعل أي شيء في هذا النظام. بينما لا تزال المدينة الفاضلة لغزًا، دعونا نلقي نظرة على حوكمة الوصول: التفويض (AuthZ).
Founder
الخلفية
في المقال السابق، قدمنا مفهوم المصادقة (AuthN) والتفويض (AuthZ)، إلى جانب بعض المصطلحات المعجزة: الهوية، المنظمة، المستأجر، إلخ.
التنظيم والمستأجر رائعان لتجميع الهويات، ولكن يؤديان إلى ديمقراطية مطلقة: يمكن للجميع فعل أي شيء في هذا النظام. بينما لا تزال المدينة الفاضلة لغزًا، دعونا نلقي نظرة على حوكمة الوصول: التفويض (AuthZ).
لماذا نحتاج إلى التفويض؟
البرنامج Notion مثال رائع. لكل صفحة تملكها، يمكنك اختيار إبقائها خاصة، متاحة لك فقط، أو مشاركتها مع الأصدقاء، أو حتى العامة.
أو، بالنسبة لمتجر كتب على الإنترنت، تريد أن يتاح للجميع عرض جميع الكتب، ولكن أن يتمكن العملاء فقط من عرض طلباتهم الخاصة، والبائعون من إدارة الكتب في متاجرهم فقط.
AuthZ و AuthN هما مكونات أساسية لنموذج أعمال معقد. غالبًا ما يسيران جنبًا إلى جنب؛ AuthZ يتحقق من وصول المستخدم، بينما AuthN يصادق على الهويات. كلاهما ضروري لنظام آمن.
نموذج التفويض الأساسي
إليك واحد من أكثر نماذج AuthZ شيوعًا: إذا كان الهوية ينفذ الفعل على المورد، فحينئذٍ قبول أو رفض.
في مثال Notion، النموذج هو الشخص ينفذ عرض على الصفحة.
إذا كانت الصفحة خاصة:
- ستتلقى قبول عند تنفيذ عرض على صفحتك.
- يجب أن يتلقى الجميع رفض عند تنفيذ عرض على صفحتك.
بناءً على التوافق، طورت الصناعة تقنيات تفويض متنوعة، مثل التحكم في الوصول القائم على الأدوار (RBAC)، والتحكم في الوصول القائم على السمات (ABAC). اليوم، سنركز على نموذج NIST RBAC المستوى 1: RBAC المسطح.
التحكم في الوصول القائم على الأدوار
لنوسع مثال متجر الكتب. لنفترض أننا لدينا العديد من العملاء، ولكن بائع واحد فقط:
- يمكن للعملاء عرض وطلب الكتب، وكذلك عرض طلباتهم الخاصة.
- يمكن للبائع عرض، إنشاء، وحذف الكتب، وإدارة طلبات العملاء.
تعريف الموارد
في Logto، عادةً ما يمثل المورد (أي: مورد API) مجموعة من الكيانات أو العناصر، لأنه مطلوب استخدام عنوان URL صالح كمؤشر. لذا نعرف موردين:
- الكتب:
https://api.bookstore.io/books - الطلبات:
https://api.bookstore.io/orders
ومن مزايا فرض تنسيق URL يمكن أن يرتبط بعنوان حقيقي لخدمة API الخاصة بك، مما يحسن من سهولة القراءة والاعتراف بها عند التكامل مع مكونات أخرى في النظام.
تعريف الأذونات
نظرًا لأننا قدمنا مفهوم المورد، في Logto، نفرض أيضًا أن الأذونات يجب أن تنتمي إلى مورد، في المقابل، يمكن أن يحتوي الموارد على أذونات.
لنضف بعض الأذونات إلى الموارد:
- الكتب:
قراءة,إنشاء,حذف - الطلبات:
قراءة,قراءة:النفس,إنشاء:النفس,حذف
على الرغم من عدم وجود اشتراط للاسم الخاص بإذن، لدينا العرف التالي:
بينما يجب على <فعل> وصف الإذن، يمكن تجاهل :<هدف> لوصف هدف عام، أي لجميع الكيانات أو العناصر في المورد. على سبيل المثال:
- الإذن
قراءةفي مورد الكتب يعني الفعل لقراءة الكتب العشوائية. - الإذن
إنشاء:النفسفي مورد الطلبات يعني الفعل لإنشاء طلبات تنتمي إلى المستخدم الحالي.
تعريف الأدوار
باختصار، الدور ه�و مجموعة من الأذونات. لنقم بإنشاء دورين عميل و بائع ونخصص الأذونات لهم كما يلي:
%3bopacity:0.7%3bbackground-color:hsl(80%2c 100%25%2c 96.2745098039%25)%3b%7d%23mermaid-0 .relationshipLabelBox rect%7bopacity:0.5%3b%7d%23mermaid-0 .relationshipLine%7bstroke:%23333333%3b%7d%23mermaid-0 .entityTitleText%7btext-anchor:middle%3bfont-size:18px%3bfill:%23333%3b%7d%23mermaid-0 %23MD_PARENT_START%7bfill:%23f5f5f5!important%3bstroke:%23333333!important%3bstroke-width:1%3b%7d%23mermaid-0 %23MD_PARENT_END%7bfill:%23f5f5f5!important%3bstroke:%23333333!important%3bstroke-width:1%3b%7d%23mermaid-0 :root%7b--mermaid-font-family:arial%2csans-serif%3b%7d%3c/style%3e%3cg/%3e%3cdefs%3e%3cmarker orient='auto' markerHeight='240' markerWidth='190' refY='7' refX='0' id='MD_PARENT_START'%3e%3cpath d='M 18%2c7 L9%2c13 L1%2c7 L9%2c1 Z'/%3e%3c/marker%3e%3c/defs%3e%3cdefs%3e%3cmarker orient='auto' markerHeight='28' markerWidth='20' refY='7' refX='19' id='MD_PARENT_END'%3e%3cpath d='M 18%2c7 L9%2c13 L1%2c7 L9%2c1 Z'/%3e%3c/marker%3e%3c/defs%3e%3cdefs%3e%3cmarker orient='auto' markerHeight='18' markerWidth='18' refY='9' refX='0' id='ONLY_ONE_START'%3e%3cpath d='M9%2c0 L9%2c18 M15%2c0 L15%2c18' fill='none' stroke='gray'/%3e%3c/marker%3e%3c/defs%3e%3cdefs%3e%3cmarker orient='auto' markerHeight='18' markerWidth='18' refY='9' refX='18' id='ONLY_ONE_END'%3e%3cpath d='M3%2c0 L3%2c18 M9%2c0 L9%2c18' fill='none' stroke='gray'/%3e%3c/marker%3e%3c/defs%3e%3cdefs%3e%3cmarker orient='auto' markerHeight='18' markerWidth='30' refY='9' refX='0' id='ZERO_OR_ONE_START'%3e%3ccircle r='6' cy='9' cx='21' fill='white' stroke='gray'/%3e%3cpath d='M9%2c0 L9%2c18' fill='none' stroke='gray'/%3e%3c/marker%3e%3c/defs%3e%3cdefs%3e%3cmarker orient='auto' markerHeight='18' markerWidth='30' refY='9' refX='30' id='ZERO_OR_ONE_END'%3e%3ccircle r='6' cy='9' cx='9' fill='white' stroke='gray'/%3e%3cpath d='M21%2c0 L21%2c18' fill='none' stroke='gray'/%3e%3c/marker%3e%3c/defs%3e%3cdefs%3e%3cmarker orient='auto' markerHeight='36' markerWidth='45' refY='18' refX='18' id='ONE_OR_MORE_START'%3e%3cpath d='M0%2c18 Q 18%2c0 36%2c18 Q 18%2c36 0%2c18 M42%2c9 L42%2c27' fill='none' stroke='gray'/%3e%3c/marker%3e%3c/defs%3e%3cdefs%3e%3cmarker orient='auto' markerHeight='36' markerWidth='45' refY='18' refX='27' id='ONE_OR_MORE_END'%3e%3cpath d='M3%2c9 L3%2c27 M9%2c18 Q27%2c0 45%2c18 Q27%2c36 9%2c18' fill='none' stroke='gray'/%3e%3c/marker%3e%3c/defs%3e%3cdefs%3e%3cmarker orient='auto' markerHeight='36' markerWidth='57' refY='18' refX='18' id='ZERO_OR_MORE_START'%3e%3ccircle r='6' cy='18' cx='48' fill='white' stroke='gray'/%3e%3cpath d='M0%2c18 Q18%2c0 36%2c18 Q18%2c36 0%2c18' fill='none' stroke='gray'/%3e%3c/marker%3e%3c/defs%3e%3cdefs%3e%3cmarker orient='auto' markerHeight='36' markerWidth='57' refY='18' refX='39' id='ZERO_OR_MORE_END'%3e%3ccircle r='6' cy='18' cx='9' fill='white' stroke='gray'/%3e%3cpath d='M21%2c18 Q39%2c0 57%2c18 Q39%2c36 21%2c18' fill='none' stroke='gray'/%3e%3c/marker%3e%3c/defs%3e%3cg transform='translate(20%2c41 )' id='entity-RoleCustomer-c5a68bb0-5611-51a0-8b4a-31224a171b9c'%3e%3crect height='90' width='161.71600341796875' y='0' x='0' class='er entityBox'/%3e%3ctext style='dominant-baseline: middle%3b text-anchor: middle%3b font-family: arial%2c sans-serif%3b font-size: 12px%3b' transform='translate(80.85800170898438%2c12)' y='0' x='0' id='text-entity-RoleCustomer-c5a68bb0-5611-51a0-8b4a-31224a171b9c' class='er entityLabel'%3eRole-Customer%3c/text%3e%3crect height='22' width='59.265625' y='24' x='0' class='er attributeBoxOdd'/%3e%3ctext style='dominant-baseline: middle%3b font-family: arial%2c sans-serif%3b font-size: 10.2px%3b' transform='translate(5%2c35)' y='0' x='0' id='text-entity-RoleCustomer-c5a68bb0-5611-51a0-8b4a-31224a171b9c-attr-1-type' class='er entityLabel'%3epermission%3c/text%3e%3crect height='22' width='38.890625' y='24' x='59.265625' class='er attributeBoxOdd'/%3e%3ctext style='dominant-baseline: middle%3b font-family: arial%2c sans-serif%3b font-size: 10.2px%3b' transform='translate(64.265625%2c35)' y='0' x='0' id='text-entity-RoleCustomer-c5a68bb0-5611-51a0-8b4a-31224a171b9c-attr-1-name' class='er entityLabel'%3ebooks%3c/text%3e%3crect height='22' width='63.55975341796875' y='24' x='98.15625' class='er attributeBoxOdd'/%3e%3ctext style='dominant-baseline: middle%3b font-family: arial%2c sans-serif%3b font-size: 10.2px%3b' transform='translate(103.15625%2c35)' y='0' x='0' id='text-entity-RoleCustomer-c5a68bb0-5611-51a0-8b4a-31224a171b9c-attr-1-comment' class='er entityLabel'%3e%d9%82%d8%b1%d8%a7%d8%a1%d8%a9%3c/text%3e%3crect height='22' width='59.265625' y='46' x='0' class='er attributeBoxEven'/%3e%3ctext style='dominant-baseline: middle%3b font-family: arial%2c sans-serif%3b font-size: 10.2px%3b' transform='translate(5%2c57)' y='0' x='0' id='text-entity-RoleCustomer-c5a68bb0-5611-51a0-8b4a-31224a171b9c-attr-2-type' class='er entityLabel'%3epermission%3c/text%3e%3crect height='22' width='38.890625' y='46' x='59.265625' class='er attributeBoxEven'/%3e%3ctext style='dominant-baseline: middle%3b font-family: arial%2c sans-serif%3b font-size: 10.2px%3b' transform='translate(64.265625%2c57)' y='0' x='0' id='text-entity-RoleCustomer-c5a68bb0-5611-51a0-8b4a-31224a171b9c-attr-2-name' class='er entityLabel'%3eorders%3c/text%3e%3crect height='22' width='63.55975341796875' y='46' x='98.15625' class='er attributeBoxEven'/%3e%3ctext style='dominant-baseline: middle%3b font-family: arial%2c sans-serif%3b font-size: 10.2px%3b' transform='translate(103.15625%2c57)' y='0' x='0' id='text-entity-RoleCustomer-c5a68bb0-5611-51a0-8b4a-31224a171b9c-attr-2-comment' class='er entityLabel'%3e%d9%82%d8%b1%d8%a7%d8%a1%d8%a9:%d8%a7%d9%84%d9%86%d9%81%d8%b3%3c/text%3e%3crect height='22' width='59.265625' y='68' x='0' class='er attributeBoxOdd'/%3e%3ctext style='dominant-baseline: middle%3b font-family: arial%2c sans-serif%3b font-size: 10.2px%3b' transform='translate(5%2c79)' y='0' x='0' id='text-entity-RoleCustomer-c5a68bb0-5611-51a0-8b4a-31224a171b9c-attr-3-type' class='er entityLabel'%3epermission%3c/text%3e%3crect height='22' width='38.890625' y='68' x='59.265625' class='er attributeBoxOdd'/%3e%3ctext style='dominant-baseline: middle%3b font-family: arial%2c sans-serif%3b font-size: 10.2px%3b' transform='translate(64.265625%2c79)' y='0' x='0' id='text-entity-RoleCustomer-c5a68bb0-5611-51a0-8b4a-31224a171b9c-attr-3-name' class='er entityLabel'%3eorders%3c/text%3e%3crect height='22' width='63.55975341796875' y='68' x='98.15625' class='er attributeBoxOdd'/%3e%3ctext style='dominant-baseline: middle%3b font-family: arial%2c sans-serif%3b font-size: 10.2px%3b' transform='translate(103.15625%2c79)' y='0' x='0' id='text-entity-RoleCustomer-c5a68bb0-5611-51a0-8b4a-31224a171b9c-attr-3-comment' class='er entityLabel'%3e%d8%a5%d9%86%d8%b4%d8%a7%d8%a1:%d8%a7%d9%84%d9%86%d9%81%d8%b3%3c/text%3e%3c/g%3e%3cg transform='translate(281.71600341796875%2c20 )' id='entity-RoleSeller-8acfa22b-9f47-5594-85c1-1ff5c49b86b7'%3e%3crect height='132' width='131.73550415039062' y='0' x='0' class='er entityBox'/%3e%3ctext style='dominant-baseline: middle%3b text-anchor: middle%3b font-family: arial%2c sans-serif%3b font-size: 12px%3b' transform='translate(65.86775207519531%2c12)' y='0' x='0' id='text-entity-RoleSeller-8acfa22b-9f47-5594-85c1-1ff5c49b86b7' class='er entityLabel'%3eRole-Seller%3c/text%3e%3crect height='22' width='59.265625' y='24' x='0' class='er attributeBoxOdd'/%3e%3ctext style='dominant-baseline: middle%3b font-family: arial%2c sans-serif%3b font-size: 10.2px%3b' transform='translate(5%2c35)' y='0' x='0' id='text-entity-RoleSeller-8acfa22b-9f47-5594-85c1-1ff5c49b86b7-attr-1-type' class='er entityLabel'%3epermission%3c/text%3e%3crect height='22' width='38.890625' y='24' x='59.265625' class='er attributeBoxOdd'/%3e%3ctext style='dominant-baseline: middle%3b font-family: arial%2c sans-serif%3b font-size: 10.2px%3b' transform='translate(64.265625%2c35)' y='0' x='0' id='text-entity-RoleSeller-8acfa22b-9f47-5594-85c1-1ff5c49b86b7-attr-1-name' class='er entityLabel'%3ebooks%3c/text%3e%3crect height='22' width='33.579254150390625' y='24' x='98.15625' class='er attributeBoxOdd'/%3e%3ctext style='dominant-baseline: middle%3b font-family: arial%2c sans-serif%3b font-size: 10.2px%3b' transform='translate(103.15625%2c35)' y='0' x='0' id='text-entity-RoleSeller-8acfa22b-9f47-5594-85c1-1ff5c49b86b7-attr-1-comment' class='er entityLabel'%3e%d9%82%d8%b1%d8%a7%d8%a1%d8%a9%3c/text%3e%3crect height='22' width='59.265625' y='46' x='0' class='er attributeBoxEven'/%3e%3ctext style='dominant-baseline: middle%3b font-family: arial%2c sans-serif%3b font-size: 10.2px%3b' transform='translate(5%2c57)' y='0' x='0' id='text-entity-RoleSeller-8acfa22b-9f47-5594-85c1-1ff5c49b86b7-attr-2-type' class='er entityLabel'%3epermission%3c/text%3e%3crect height='22' width='38.890625' y='46' x='59.265625' class='er attributeBoxEven'/%3e%3ctext style='dominant-baseline: middle%3b font-family: arial%2c sans-serif%3b font-size: 10.2px%3b' transform='translate(64.265625%2c57)' y='0' x='0' id='text-entity-RoleSeller-8acfa22b-9f47-5594-85c1-1ff5c49b86b7-attr-2-name' class='er entityLabel'%3ebooks%3c/text%3e%3crect height='22' width='33.579254150390625' y='46' x='98.15625' class='er attributeBoxEven'/%3e%3ctext style='dominant-baseline: middle%3b font-family: arial%2c sans-serif%3b font-size: 10.2px%3b' transform='translate(103.15625%2c57)' y='0' x='0' id='text-entity-RoleSeller-8acfa22b-9f47-5594-85c1-1ff5c49b86b7-attr-2-comment' class='er entityLabel'%3e%d8%a5%d9%86%d8%b4%d8%a7%d8%a1%3c/text%3e%3crect height='21' width='59.265625' y='68' x='0' class='er attributeBoxOdd'/%3e%3ctext style='dominant-baseline: middle%3b font-family: arial%2c sans-serif%3b font-size: 10.2px%3b' transform='translate(5%2c78.5)' y='0' x='0' id='text-entity-RoleSeller-8acfa22b-9f47-5594-85c1-1ff5c49b86b7-attr-3-type' class='er entityLabel'%3epermission%3c/text%3e%3crect height='21' width='38.890625' y='68' x='59.265625' class='er attributeBoxOdd'/%3e%3ctext style='dominant-baseline: middle%3b font-family: arial%2c sans-serif%3b font-size: 10.2px%3b' transform='translate(64.265625%2c78.5)' y='0' x='0' id='text-entity-RoleSeller-8acfa22b-9f47-5594-85c1-1ff5c49b86b7-attr-3-name' class='er entityLabel'%3ebooks%3c/text%3e%3crect height='21' width='33.579254150390625' y='68' x='98.15625' class='er attributeBoxOdd'/%3e%3ctext style='dominant-baseline: middle%3b font-family: arial%2c sans-serif%3b font-size: 10.2px%3b' transform='translate(103.15625%2c78.5)' y='0' x='0' id='text-entity-RoleSeller-8acfa22b-9f47-5594-85c1-1ff5c49b86b7-attr-3-comment' class='er entityLabel'%3e%d8%ad%d8%b0%d9%81%3c/text%3e%3crect height='22' width='59.265625' y='89' x='0' class='er attributeBoxEven'/%3e%3ctext style='dominant-baseline: middle%3b font-family: arial%2c sans-serif%3b font-size: 10.2px%3b' transform='translate(5%2c100)' y='0' x='0' id='text-entity-RoleSeller-8acfa22b-9f47-5594-85c1-1ff5c49b86b7-attr-4-type' class='er entityLabel'%3epermission%3c/text%3e%3crect height='22' width='38.890625' y='89' x='59.265625' class='er attributeBoxEven'/%3e%3ctext style='dominant-baseline: middle%3b font-family: arial%2c sans-serif%3b font-size: 10.2px%3b' transform='translate(64.265625%2c100)' y='0' x='0' id='text-entity-RoleSeller-8acfa22b-9f47-5594-85c1-1ff5c49b86b7-attr-4-name' class='er entityLabel'%3eorders%3c/text%3e%3crect height='22' width='33.579254150390625' y='89' x='98.15625' class='er attributeBoxEven'/%3e%3ctext style='dominant-baseline: middle%3b font-family: arial%2c sans-serif%3b font-size: 10.2px%3b' transform='translate(103.15625%2c100)' y='0' x='0' id='text-entity-RoleSeller-8acfa22b-9f47-5594-85c1-1ff5c49b86b7-attr-4-comment' class='er entityLabel'%3e%d9%82%d8%b1%d8%a7%d8%a1%d8%a9%3c/text%3e%3crect height='21' width='59.265625' y='111' x='0' class='er attributeBoxOdd'/%3e%3ctext style='dominant-baseline: middle%3b font-family: arial%2c sans-serif%3b font-size: 10.2px%3b' transform='translate(5%2c121.5)' y='0' x='0' id='text-entity-RoleSeller-8acfa22b-9f47-5594-85c1-1ff5c49b86b7-attr-5-type' class='er entityLabel'%3epermission%3c/text%3e%3crect height='21' width='38.890625' y='111' x='59.265625' class='er attributeBoxOdd'/%3e%3ctext style='dominant-baseline: middle%3b font-family: arial%2c sans-serif%3b font-size: 10.2px%3b' transform='translate(64.265625%2c121.5)' y='0' x='0' id='text-entity-RoleSeller-8acfa22b-9f47-5594-85c1-1ff5c49b86b7-attr-5-name' class='er entityLabel'%3eorders%3c/text%3e%3crect height='21' width='33.579254150390625' y='111' x='98.15625' class='er attributeBoxOdd'/%3e%3ctext style='dominant-baseline: middle%3b font-family: arial%2c sans-serif%3b font-size: 10.2px%3b' transform='translate(103.15625%2c121.5)' y='0' x='0' id='text-entity-RoleSeller-8acfa22b-9f47-5594-85c1-1ff5c49b86b7-attr-5-comment' class='er entityLabel'%3e%d8%ad%d8%b0%d9%81%3c/text%3e%3c/g%3e%3c/svg%3e)
قد تلاحظ أن تعيين الإذن للدور هو علاقة عديدة لعديد.
تخصيص الأدوار للمستخدمين
تمامًا مثل تعيين الدور للإذن، فإن تعيين المستخدم للدور هو أيضًا علاقة عديدة لعديد. لذلك، يمكنك تخصيص أدوار متعددة لمستخدم واحد، ويمكن تخصيص دور واحد لعدة مستخدمين.
ربط النقاط
إليك رسم بياني كامل للعلاقات لنموذج RBAC المستوى 1 في Logto:
%3bopacity:0.7%3bbackground-color:hsl(80%2c 100%25%2c 96.2745098039%25)%3b%7d%23mermaid-1 .relationshipLabelBox rect%7bopacity:0.5%3b%7d%23mermaid-1 .relationshipLine%7bstroke:%23333333%3b%7d%23mermaid-1 .entityTitleText%7btext-anchor:middle%3bfont-size:18px%3bfill:%23333%3b%7d%23mermaid-1 %23MD_PARENT_START%7bfill:%23f5f5f5!important%3bstroke:%23333333!important%3bstroke-width:1%3b%7d%23mermaid-1 %23MD_PARENT_END%7bfill:%23f5f5f5!important%3bstroke:%23333333!important%3bstroke-width:1%3b%7d%23mermaid-1 :root%7b--mermaid-font-family:arial%2csans-serif%3b%7d%3c/style%3e%3cg/%3e%3cdefs%3e%3cmarker orient='auto' markerHeight='240' markerWidth='190' refY='7' refX='0' id='MD_PARENT_START'%3e%3cpath d='M 18%2c7 L9%2c13 L1%2c7 L9%2c1 Z'/%3e%3c/marker%3e%3c/defs%3e%3cdefs%3e%3cmarker orient='auto' markerHeight='28' markerWidth='20' refY='7' refX='19' id='MD_PARENT_END'%3e%3cpath d='M 18%2c7 L9%2c13 L1%2c7 L9%2c1 Z'/%3e%3c/marker%3e%3c/defs%3e%3cdefs%3e%3cmarker orient='auto' markerHeight='18' markerWidth='18' refY='9' refX='0' id='ONLY_ONE_START'%3e%3cpath d='M9%2c0 L9%2c18 M15%2c0 L15%2c18' fill='none' stroke='gray'/%3e%3c/marker%3e%3c/defs%3e%3cdefs%3e%3cmarker orient='auto' markerHeight='18' markerWidth='18' refY='9' refX='18' id='ONLY_ONE_END'%3e%3cpath d='M3%2c0 L3%2c18 M9%2c0 L9%2c18' fill='none' stroke='gray'/%3e%3c/marker%3e%3c/defs%3e%3cdefs%3e%3cmarker orient='auto' markerHeight='18' markerWidth='30' refY='9' refX='0' id='ZERO_OR_ONE_START'%3e%3ccircle r='6' cy='9' cx='21' fill='white' stroke='gray'/%3e%3cpath d='M9%2c0 L9%2c18' fill='none' stroke='gray'/%3e%3c/marker%3e%3c/defs%3e%3cdefs%3e%3cmarker orient='auto' markerHeight='18' markerWidth='30' refY='9' refX='30' id='ZERO_OR_ONE_END'%3e%3ccircle r='6' cy='9' cx='9' fill='white' stroke='gray'/%3e%3cpath d='M21%2c0 L21%2c18' fill='none' stroke='gray'/%3e%3c/marker%3e%3c/defs%3e%3cdefs%3e%3cmarker orient='auto' markerHeight='36' markerWidth='45' refY='18' refX='18' id='ONE_OR_MORE_START'%3e%3cpath d='M0%2c18 Q 18%2c0 36%2c18 Q 18%2c36 0%2c18 M42%2c9 L42%2c27' fill='none' stroke='gray'/%3e%3c/marker%3e%3c/defs%3e%3cdefs%3e%3cmarker orient='auto' markerHeight='36' markerWidth='45' refY='18' refX='27' id='ONE_OR_MORE_END'%3e%3cpath d='M3%2c9 L3%2c27 M9%2c18 Q27%2c0 45%2c18 Q27%2c36 9%2c18' fill='none' stroke='gray'/%3e%3c/marker%3e%3c/defs%3e%3cdefs%3e%3cmarker orient='auto' markerHeight='36' markerWidth='57' refY='18' refX='18' id='ZERO_OR_MORE_START'%3e%3ccircle r='6' cy='18' cx='48' fill='white' stroke='gray'/%3e%3cpath d='M0%2c18 Q18%2c0 36%2c18 Q18%2c36 0%2c18' fill='none' stroke='gray'/%3e%3c/marker%3e%3c/defs%3e%3cdefs%3e%3cmarker orient='auto' markerHeight='36' markerWidth='57' refY='18' refX='39' id='ZERO_OR_MORE_END'%3e%3ccircle r='6' cy='18' cx='9' fill='white' stroke='gray'/%3e%3cpath d='M21%2c18 Q39%2c0 57%2c18 Q39%2c36 21%2c18' fill='none' stroke='gray'/%3e%3c/marker%3e%3c/defs%3e%3cpath style='stroke: gray%3b fill: none%3b' marker-start='url(%23ONE_OR_MORE_START)' marker-end='url(%23ONE_OR_MORE_END)' d='M70%2c95L70%2c103.333C70%2c111.667%2c70%2c128.333%2c70%2c145C70%2c161.667%2c70%2c178.333%2c70%2c186.667L70%2c195' class='er relationshipLine'/%3e%3cpath style='stroke: gray%3b fill: none%3b' marker-start='url(%23ONE_OR_MORE_START)' marker-end='url(%23ONE_OR_MORE_END)' d='M70%2c270L70%2c278.333C70%2c286.667%2c70%2c303.333%2c79.628%2c320C89.255%2c336.667%2c108.51%2c353.333%2c118.138%2c361.667L127.766%2c370' class='er relationshipLine'/%3e%3cpath style='stroke: gray%3b fill: none%3b' marker-start='url(%23ONLY_ONE_START)' marker-end='url(%23ONE_OR_MORE_END)' d='M272.18%2c270L272.18%2c278.333C272.18%2c286.667%2c272.18%2c303.333%2c262.552%2c320C252.924%2c336.667%2c233.669%2c353.333%2c224.042%2c361.667L214.414%2c370' class='er relationshipLine'/%3e%3cg transform='translate(20%2c20 )' id='entity-User-818c511a-4a32-5484-ba70-875d765a9175'%3e%3crect height='75' width='100' y='0' x='0' class='er entityBox'/%3e%3ctext style='dominant-baseline: middle%3b text-anchor: middle%3b font-family: arial%2c sans-serif%3b font-size: 12px%3b' transform='translate(50%2c37.5)' y='0' x='0' id='text-entity-User-818c511a-4a32-5484-ba70-875d765a9175' class='er entityLabel'%3eUser%3c/text%3e%3c/g%3e%3cg transform='translate(20%2c195 )' id='entity-Role-8dbdbbc4-0419-5464-aae6-f142fb2ece67'%3e%3crect height='75' width='100' y='0' x='0' class='er entityBox'/%3e%3ctext style='dominant-baseline: middle%3b text-anchor: middle%3b font-family: arial%2c sans-serif%3b font-size: 12px%3b' transform='translate(50%2c37.5)' y='0' x='0' id='text-entity-Role-8dbdbbc4-0419-5464-aae6-f142fb2ece67' class='er entityLabel'%3eRole%3c/text%3e%3c/g%3e%3cg transform='translate(121.08984375%2c370 )' id='entity-Permission-48655fad-d38f-55ef-b80b-a2e5778dc661'%3e%3crect height='75' width='100' y='0' x='0' class='er entityBox'/%3e%3ctext style='dominant-baseline: middle%3b text-anchor: middle%3b font-family: arial%2c sans-serif%3b font-size: 12px%3b' transform='translate(50%2c37.5)' y='0' x='0' id='text-entity-Permission-48655fad-d38f-55ef-b80b-a2e5778dc661' class='er entityLabel'%3ePermission%3c/text%3e%3c/g%3e%3cg transform='translate(220%2c195 )' id='entity-APIResource-f2b5b87c-e92d-553a-a516-679c3b4618ad'%3e%3crect height='75' width='104.359375' y='0' x='0' class='er entityBox'/%3e%3ctext style='dominant-baseline: middle%3b text-anchor: middle%3b font-family: arial%2c sans-serif%3b font-size: 12px%3b' transform='translate(52.1796875%2c37.5)' y='0' x='0' id='text-entity-APIResource-f2b5b87c-e92d-553a-a516-679c3b4618ad' class='er entityLabel'%3eAPI Resource%3c/text%3e%3c/g%3e%3crect height='14' width='29.34375' y='138' x='55.328125' class='er relationshipLabelBox'/%3e%3ctext style='text-anchor: middle%3b dominant-baseline: middle%3b font-family: arial%2c sans-serif%3b font-size: 12px%3b' y='145' x='70' id='rel1' class='er relationshipLabel'%3emaps%3c/text%3e%3crect height='14' width='29.34375' y='320.5440979003906' x='69.92644500732422' class='er relationshipLabelBox'/%3e%3ctext style='text-anchor: middle%3b dominant-baseline: middle%3b font-family: arial%2c sans-serif%3b font-size: 12px%3b' y='327.5440979003906' x='84.59832000732422' id='rel2' class='er relationshipLabel'%3emaps%3c/text%3e%3crect height='14' width='44.703125' y='320.54388427734375' x='235.22988891601562' class='er relationshipLabelBox'/%3e%3ctext style='text-anchor: middle%3b dominant-baseline: middle%3b font-family: arial%2c sans-serif%3b font-size: 12px%3b' y='327.54388427734375' x='257.5814514160156' id='rel3' class='er relationshipLabel'%3econtains%3c/text%3e%3c/svg%3e)
في نموذج RBAC، تكون الأذونات دائمًا "إيجابية"، مما يعني أن حكم التفويض بسيط: إذا كان لدى المستخدم الإذن، فاقبل؛ والا، ارفض.
لنقل أن أليس لديها دور بائع، بوب وكارول لديهما دور عميل. سنصف الأفعال بلغة طبيعية أولاً، ونحولها إلى تنسيق التفويض القياسي: الهوية ينفذ الفعل على المورد، وأخيرًا نعطي النتيجة.
- تريد أليس إضافة كتاب جديد للبيع:
- المستخدم أليس ينفذ
إنشاءعلى مورد الكتب (https://api.bookstore.io/books). - نظرًا لأنه تم تخصيص الإذن
إنشاءللكتب لأليس وفقًا لدورهابائع، النتيجة هي ✅ قبول.
- المستخدم أليس ينفذ
- تريد أليس عرض جميع الطلبات لمعرفة ما إذا كانت المبيعات تفي بتوقعاتها:
- المستخدم أليس ينفذ
قراءةعلى مورد الطلبات (https://api.bookstore.io/orders). - نظرًا لأنه تم تخصيص الإذن
قراءةللطلبات لأليس وفقًا لدورهابائع، النتيجة هي ✅ قبول.
- المستخدم أليس ينفذ
- يريد بوب تصفح قائمة الكتب لمعرفة ما إذا كانت هناك كتب يرغب في شرائها.
- المستخدم بوب ينفذ
قراءةعلى مورد الكتب (https://api.bookstore.io/books). - نظرًا لأنه تم تخصيص الإذن
قراءةللكتب لبوب وفقًا لدورهعميل، النتيجة ه�ي ✅ قبول.
- المستخدم بوب ينفذ
- يريد بوب عرض طلب كارول.
- نظرًا لأنه طلب شخص آخر، فإن الإذن
قراءة:النفسللطلبات لا يعمل هنا. - المستخدم بوب ينفذ
قراءةعلى مورد الطلبات (https://api.bookstore.io/orders). - نظرًا لعدم امتلاك بوب إذن
قراءةللطلبات، النتيجة هي ❌ رفض.
- نظرًا لأنه طلب شخص آخر، فإن الإذن
مستويات RBAC الأخرى
هناك أربع مستويات في نموذج NIST RBAC:
- RBAC المسطح
- RBAC الهرمي
- RBAC المقيد
- RBAC المتناظر
راجع الورقة للحصول على التفاصيل إذا كنت مهتمًا.
يمتلك Logto الآن تطبيق المستوى 1 وسيتقدم إلى مستويات أعلى بناءً على ملاحظات المجتمع. لا تتردد في إخبارنا إذا كان مستوى أعلى يناسب احتياجك!
في الممارسة العملية
بجانب النظرية، لا يزال لدينا أعمال تقنية ثقيلة لنكمل لجعل النموذج يعمل بالشكل المتوقع:
- تطوير العميل والخادم الخاص بالمصادقة
- تصميم قاعدة بيانات لـ RBAC
- التحقق عبر الخدمات المختلفة
- الأمان والامتثال للمعايير المفتوحة
- إدارة وتعيين الأدوار، الأذونات، والموارد
لا داعي للذعر. لقد أخذنا ذلك في الاعتبار وأضفنا دعمًا جاهزًا لتغطية كل ما سبق. تحقق من 🔐 وصفة RBAC لمعرفة كيفية استخدام RBAC في Logto.
ملاحظات ختامية
RBAC هو نموذج إدارة الوصول قوي لمعظم الحالات، ولكن ليس هناك رصاصة سحرية. لا يزال لدينا بعض الأسئلة:
- هل أحتاج إلى مستويات عالية من RBAC؟
- كيف يقارن RBAC مع نماذج التفويض الأخرى؟
- كيفية تعريف نموذج التفويض بين منظمات مختلفة؟