Português (Portugal)
  • autorização
  • organização
  • recursos de api
  • rbac

O sistema de autorização do Logto e a sua utilização em cenários de gestão de identidade

Explore o versátil sistema de autorização do Logto.

Guamian
Guamian
Product & Design

O Logto não funciona apenas como um fornecedor de autenticação, mas também como um fornecedor de autorização. Neste artigo, vou apresentar uma visão geral dos métodos de autorização do Logto e explicar como estas camadas flexíveis podem ser aplicadas a vários cenários.

Utilize o controlo de acesso baseado em função para proteger o seu recurso de API

Registe recursos de API no Logto

Para estabelecer um sistema de autorização onde diferentes utilizadores têm acesso variado a recursos e permissões de ações, pode começar por registar o recurso de API no Logto e depois adicionar permissões. Utilize funções para agregar estas permissões, quer para uma única API ou através de várias.

Gerir Permissões

Um grande recurso do Logto é a sua capacidade de criar vários tipos de funções que podem ser aplicadas a diferentes entidades, incluindo tanto apps de utilizador como máquina-a-máquina. Os utilizadores podem herdar funções específicas de utilizador, enquanto as apps máquina-a-máquina podem herdar funções projetadas para elas.

Entidade alvo: Utilizador

Se a sua app é uma aplicação geral onde diferentes utilizadores precisam realizar diferentes ações, utilizar funções de utilizador é uma forma flexível de estabelecer um sistema de controlo de acesso eficaz.

Criar Recursos API


Role Rider

Entidade alvo: App Máquina-a-máquina

Máquina-a-máquina (M2M) é uma prática comum para autenticar se tiver uma app que precisa comunicar diretamente com recursos. Ex.: um serviço de API que atualiza dados personalizados de utilizadores no Logto, um serviço estatístico que puxa pedidos diários, etc.

As apps máquina-a-máquina podem ser utilizadas em dois casos de uso principais no Logto:

  1. Proteja a sua app API sem interface configurando um sistema de autorização.
  2. Use a API de gestão do Logto para desenvolver os seus serviços, como habilitar perfis de utilizador que permitam que os utilizadores finais atualizem suas informações relacionadas à identidade.

A distinção com funções de utilizador neste contexto é que a função é definida especificamente como uma função máquina-a-máquina, não uma função de utilizador, e só pode ser atribuída a apps máquina-a-máquina.

Criar Função

Neste contexto de RBAC de API, recursos de API, funções e permissões são "democratizados" e vistos ao nível do sistema dentro de um sistema de identidade unificado. Esta abordagem é bastante comum em produtos B2C simples, onde há menos necessidade de gestão hierárquica complexa.

Use o modelo de organização (RBAC) para proteger o recurso ao nível da organização

Em cenários B2B, as funções de utilizador podem variar entre diferentes organizações. Por exemplo, John pode ter uma função de administrador na Organização A, mas apenas ocupar uma função de membro na Organização B.

Modelo de Organização

Isto pode ser alcançado configurando modelos de organização no Logto, que ajuda a sua app multi-inquilino a construir um sistema de controlo de acesso.

Em vez de criar inúmeras funções para cada organização, o Logto permite-lhe criar um modelo de organização. Esta abordagem mantém a consistência em todas as organizações enquanto permite aos utilizadores a flexibilidade de terem diferentes funções em diferentes organizações.

As permissões da organização não requerem que um recurso de API seja registado. O Logto emite tokens de organização que incluem funções e outras alegações, que podem ser usadas para uma verificação adicional do token da organização na sua API.

Use um modelo de organização (RBAC) para proteger tanto os recursos ao nível do sistema como da organização

Se tem recursos de API registados no Logto e está a procurar estender a sua utilização ao nível da organização, é totalmente possível.

Esta necessidade pode surgir se estiver a usar o mesmo endpoint para ambas as funções ao nível do sistema e operações específicas da organização. Ter um único endpoint está bom, e utilizar o contexto da organização pode também efetivamente garantir o isolamento do inquilino.

No Logto, pode atribuir permissões de API diretamente à função de uma organização, adaptando-a aos seus requisitos específicos.

Aqui está uma visão rápida de como integrar permissões de API com a função da sua organização.

Este recurso está em desenvolvimento e é esperado estar disponível na primeira metade de 2024.

Atribuir Permissões

Entusiasmado com sistemas de autorização do Logto e com os nossos próximos recursos de autorização? Inscreva-se hoje e receba as últimas atualizações de produtos imediatamente.