CIAM 102: Авторизация и управление доступом на основе ролей
Организация и арендатор отлично подходят для группировки идентификаторов, но они приводят к абсолютной демократии: каждый может делать что угодно в этой системе. Пока утопия остается загадкой, давайте посмотрим на управление доступом: Авторизация (AuthZ).
Founder
Предыстория
В предыдущей статье, мы ввели понятие аутентификации (AuthN) и авторизации (AuthZ), вместе с некоторыми терминами, вызывающими головную боль: идентификатор, организация, арендатор, и т.д.
Организация и арендатор отличаются тем, что хороши для группировки идентификаторов, но они приводят к абсолютной демократии: каждый может делать что угодно в этой системе. Пока утопия остается загадкой, давайте рассмотрим управление доступом: авторизация (AuthZ).
Зачем нам нужна авторизация?
Notion - отличный пример. Для каждой страницы, которую вы владеете, вы можете выбрать, хранить ее в приватном режиме, доступной только вам, или поделиться ей с друзьями, или даже с общественностью.
Или, для онлайн-книжного магазина, вы хотите, чтобы каждый мог просматривать все книги, но клиенты могли просматривать только свои заказы, а продавцы управлять только книгами в своих магазинах.
AuthZ и AuthN являются неотъемлемыми компонентами сложной бизнес-модели. Они часто идут рука об руку; AuthZ проверяет доступ пользователя, а AuthN аутентифицирует идентификаторы. Оба необходимы для безопасной системы.
Базовая модель авторизации
Вот одна из наиболее распространенных моделей AuthZ: Если IDENTITY выполняет ACTION над RESOURCE, тогда ACCEPT или DENY.
В примере с Notion, модель выглядит так: PERSON выполняет VIEW над PAGE.
Если страница является конфиденциальной:
- Вы получите ACCEPT при выполнении VIEW над вашей PAGE.
- Все остальные должны получить DENY при выполнении VIEW над вашей PAGE.
На основе консенсуса, индустрия разработала различные технологии авторизации, такие как контроль доступа на основе ролей (RBAC), контроль доступа на основе атрибутов (ABAC). Сегодня мы сосредоточимся на модели NIST RBAC Уровень 1: Flat RBAC.
Управление доступом на основе ролей
Давайте расширим пример с книжным магазином. Предположим, у нас много клиентов, но только один продавец:
- Клиенты могут просматривать и заказывать книги, а также просматривать свои заказы.
- Продавец может просматривать, создавать и удалять книги, а также управлять заказами клиентов.
Определение ресурсов
В Logto ресурс (то есть API ресурс) обычно представляет собой набор сущностей или элементов, так как требуется использовать допустимый URL в качестве индикатора. Следовательно, мы определяем два ресурса:
- Книги:
https://api.bookstore.io/books - Заказы:
https://api.bookstore.io/orders
Одно из преимуществ принуждения к формату URL состоит в том, что он может отображать на реальный адрес вашей API-услуги, что улучшает читабельность и узнаваемость при интеграции с другими компонентами системы.
Определение разрешений
Поскольку мы ввели понятие ресурса, в Logto мы также требуем, чтобы разрешения принадлежали ресурсу, наоборот, ресурсы могут иметь разрешения.
Давайте добавим некоторые разрешения в ресурсы:
- Книги:
read,create,delete - Заказы:
read,read:self,create:self,delete
Хотя для имени разр�ешения нет требования, у нас есть следующее соглашение:
В то время как <action> требуется для описания разрешения, :<target> можно игнорировать для описания общей цели, т.е. ко всем сущностям или элементам ресурса. Например:
- Разрешение
readв ресурсе Книги означает действие по чтению произвольных книг. - Разрешение
create:selfв ресурсе Заказы означает действие создания заказов, принадлежащих текущему пользователю.
Определение ролей
Вкратце, роль - это группа разрешений. Давайте создадим две роли customer и seller и назначим им разрешения следующим образом:
%3bopacity:0.7%3bbackground-color:hsl(80%2c 100%25%2c 96.2745098039%25)%3b%7d%23mermaid-0 .relationshipLabelBox rect%7bopacity:0.5%3b%7d%23mermaid-0 .relationshipLine%7bstroke:%23333333%3b%7d%23mermaid-0 .entityTitleText%7btext-anchor:middle%3bfont-size:18px%3bfill:%23333%3b%7d%23mermaid-0 %23MD_PARENT_START%7bfill:%23f5f5f5!important%3bstroke:%23333333!important%3bstroke-width:1%3b%7d%23mermaid-0 %23MD_PARENT_END%7bfill:%23f5f5f5!important%3bstroke:%23333333!important%3bstroke-width:1%3b%7d%23mermaid-0 :root%7b--mermaid-font-family:arial%2csans-serif%3b%7d%3c/style%3e%3cg/%3e%3cdefs%3e%3cmarker orient='auto' markerHeight='240' markerWidth='190' refY='7' refX='0' id='MD_PARENT_START'%3e%3cpath d='M 18%2c7 L9%2c13 L1%2c7 L9%2c1 Z'/%3e%3c/marker%3e%3c/defs%3e%3cdefs%3e%3cmarker orient='auto' markerHeight='28' markerWidth='20' refY='7' refX='19' id='MD_PARENT_END'%3e%3cpath d='M 18%2c7 L9%2c13 L1%2c7 L9%2c1 Z'/%3e%3c/marker%3e%3c/defs%3e%3cdefs%3e%3cmarker orient='auto' markerHeight='18' markerWidth='18' refY='9' refX='0' id='ONLY_ONE_START'%3e%3cpath d='M9%2c0 L9%2c18 M15%2c0 L15%2c18' fill='none' stroke='gray'/%3e%3c/marker%3e%3c/defs%3e%3cdefs%3e%3cmarker orient='auto' markerHeight='18' markerWidth='18' refY='9' refX='18' id='ONLY_ONE_END'%3e%3cpath d='M3%2c0 L3%2c18 M9%2c0 L9%2c18' fill='none' stroke='gray'/%3e%3c/marker%3e%3c/defs%3e%3cdefs%3e%3cmarker orient='auto' markerHeight='18' markerWidth='30' refY='9' refX='0' id='ZERO_OR_ONE_START'%3e%3ccircle r='6' cy='9' cx='21' fill='white' stroke='gray'/%3e%3cpath d='M9%2c0 L9%2c18' fill='none' stroke='gray'/%3e%3c/marker%3e%3c/defs%3e%3cdefs%3e%3cmarker orient='auto' markerHeight='18' markerWidth='30' refY='9' refX='30' id='ZERO_OR_ONE_END'%3e%3ccircle r='6' cy='9' cx='9' fill='white' stroke='gray'/%3e%3cpath d='M21%2c0 L21%2c18' fill='none' stroke='gray'/%3e%3c/marker%3e%3c/defs%3e%3cdefs%3e%3cmarker orient='auto' markerHeight='36' markerWidth='45' refY='18' refX='18' id='ONE_OR_MORE_START'%3e%3cpath d='M0%2c18 Q 18%2c0 36%2c18 Q 18%2c36 0%2c18 M42%2c9 L42%2c27' fill='none' stroke='gray'/%3e%3c/marker%3e%3c/defs%3e%3cdefs%3e%3cmarker orient='auto' markerHeight='36' markerWidth='45' refY='18' refX='27' id='ONE_OR_MORE_END'%3e%3cpath d='M3%2c9 L3%2c27 M9%2c18 Q27%2c0 45%2c18 Q27%2c36 9%2c18' fill='none' stroke='gray'/%3e%3c/marker%3e%3c/defs%3e%3cdefs%3e%3cmarker orient='auto' markerHeight='36' markerWidth='57' refY='18' refX='18' id='ZERO_OR_MORE_START'%3e%3ccircle r='6' cy='18' cx='48' fill='white' stroke='gray'/%3e%3cpath d='M0%2c18 Q18%2c0 36%2c18 Q18%2c36 0%2c18' fill='none' stroke='gray'/%3e%3c/marker%3e%3c/defs%3e%3cdefs%3e%3cmarker orient='auto' markerHeight='36' markerWidth='57' refY='18' refX='39' id='ZERO_OR_MORE_END'%3e%3ccircle r='6' cy='18' cx='9' fill='white' stroke='gray'/%3e%3cpath d='M21%2c18 Q39%2c0 57%2c18 Q39%2c36 21%2c18' fill='none' stroke='gray'/%3e%3c/marker%3e%3c/defs%3e%3cg transform='translate(20%2c41 )' id='entity-RoleCustomer-c5a68bb0-5611-51a0-8b4a-31224a171b9c'%3e%3crect height='87' width='157.57363891601562' y='0' x='0' class='er entityBox'/%3e%3ctext style='dominant-baseline: middle%3b text-anchor: middle%3b font-family: arial%2c sans-serif%3b font-size: 12px%3b' transform='translate(78.78681945800781%2c12)' y='0' x='0' id='text-entity-RoleCustomer-c5a68bb0-5611-51a0-8b4a-31224a171b9c' class='er entityLabel'%3eRole-Customer%3c/text%3e%3crect height='21' width='59.265625' y='24' x='0' class='er attributeBoxOdd'/%3e%3ctext style='dominant-baseline: middle%3b font-family: arial%2c sans-serif%3b font-size: 10.2px%3b' transform='translate(5%2c34.5)' y='0' x='0' id='text-entity-RoleCustomer-c5a68bb0-5611-51a0-8b4a-31224a171b9c-attr-1-type' class='er entityLabel'%3epermission%3c/text%3e%3crect height='21' width='41.140625' y='24' x='59.265625' class='er attributeBoxOdd'/%3e%3ctext style='dominant-baseline: middle%3b font-family: arial%2c sans-serif%3b font-size: 10.2px%3b' transform='translate(64.265625%2c34.5)' y='0' x='0' id='text-entity-RoleCustomer-c5a68bb0-5611-51a0-8b4a-31224a171b9c-attr-1-name' class='er entityLabel'%3eBooks%3c/text%3e%3crect height='21' width='57.167388916015625' y='24' x='100.40625' class='er attributeBoxOdd'/%3e%3ctext style='dominant-baseline: middle%3b font-family: arial%2c sans-serif%3b font-size: 10.2px%3b' transform='translate(105.40625%2c34.5)' y='0' x='0' id='text-entity-RoleCustomer-c5a68bb0-5611-51a0-8b4a-31224a171b9c-attr-1-comment' class='er entityLabel'%3eread%3c/text%3e%3crect height='21' width='59.265625' y='45' x='0' class='er attributeBoxEven'/%3e%3ctext style='dominant-baseline: middle%3b font-family: arial%2c sans-serif%3b font-size: 10.2px%3b' transform='translate(5%2c55.5)' y='0' x='0' id='text-entity-RoleCustomer-c5a68bb0-5611-51a0-8b4a-31224a171b9c-attr-2-type' class='er entityLabel'%3epermission%3c/text%3e%3crect height='21' width='41.140625' y='45' x='59.265625' class='er attributeBoxEven'/%3e%3ctext style='dominant-baseline: middle%3b font-family: arial%2c sans-serif%3b font-size: 10.2px%3b' transform='translate(64.265625%2c55.5)' y='0' x='0' id='text-entity-RoleCustomer-c5a68bb0-5611-51a0-8b4a-31224a171b9c-attr-2-name' class='er entityLabel'%3eOrders%3c/text%3e%3crect height='21' width='57.167388916015625' y='45' x='100.40625' class='er attributeBoxEven'/%3e%3ctext style='dominant-baseline: middle%3b font-family: arial%2c sans-serif%3b font-size: 10.2px%3b' transform='translate(105.40625%2c55.5)' y='0' x='0' id='text-entity-RoleCustomer-c5a68bb0-5611-51a0-8b4a-31224a171b9c-attr-2-comment' class='er entityLabel'%3eread:self%3c/text%3e%3crect height='21' width='59.265625' y='66' x='0' class='er attributeBoxOdd'/%3e%3ctext style='dominant-baseline: middle%3b font-family: arial%2c sans-serif%3b font-size: 10.2px%3b' transform='translate(5%2c76.5)' y='0' x='0' id='text-entity-RoleCustomer-c5a68bb0-5611-51a0-8b4a-31224a171b9c-attr-3-type' class='er entityLabel'%3epermission%3c/text%3e%3crect height='21' width='41.140625' y='66' x='59.265625' class='er attributeBoxOdd'/%3e%3ctext style='dominant-baseline: middle%3b font-family: arial%2c sans-serif%3b font-size: 10.2px%3b' transform='translate(64.265625%2c76.5)' y='0' x='0' id='text-entity-RoleCustomer-c5a68bb0-5611-51a0-8b4a-31224a171b9c-attr-3-name' class='er entityLabel'%3eOrders%3c/text%3e%3crect height='21' width='57.167388916015625' y='66' x='100.40625' class='er attributeBoxOdd'/%3e%3ctext style='dominant-baseline: middle%3b font-family: arial%2c sans-serif%3b font-size: 10.2px%3b' transform='translate(105.40625%2c76.5)' y='0' x='0' id='text-entity-RoleCustomer-c5a68bb0-5611-51a0-8b4a-31224a171b9c-attr-3-comment' class='er entityLabel'%3ecreate:self%3c/text%3e%3c/g%3e%3cg transform='translate(277.5736389160156%2c20 )' id='entity-RoleSeller-8acfa22b-9f47-5594-85c1-1ff5c49b86b7'%3e%3crect height='129' width='139.05453491210938' y='0' x='0' class='er entityBox'/%3e%3ctext style='dominant-baseline: middle%3b text-anchor: middle%3b font-family: arial%2c sans-serif%3b font-size: 12px%3b' transform='translate(69.52726745605469%2c12)' y='0' x='0' id='text-entity-RoleSeller-8acfa22b-9f47-5594-85c1-1ff5c49b86b7' class='er entityLabel'%3eRole-Seller%3c/text%3e%3crect height='21' width='59.265625' y='24' x='0' class='er attributeBoxOdd'/%3e%3ctext style='dominant-baseline: middle%3b font-family: arial%2c sans-serif%3b font-size: 10.2px%3b' transform='translate(5%2c34.5)' y='0' x='0' id='text-entity-RoleSeller-8acfa22b-9f47-5594-85c1-1ff5c49b86b7-attr-1-type' class='er entityLabel'%3epermission%3c/text%3e%3crect height='21' width='41.140625' y='24' x='59.265625' class='er attributeBoxOdd'/%3e%3ctext style='dominant-baseline: middle%3b font-family: arial%2c sans-serif%3b font-size: 10.2px%3b' transform='translate(64.265625%2c34.5)' y='0' x='0' id='text-entity-RoleSeller-8acfa22b-9f47-5594-85c1-1ff5c49b86b7-attr-1-name' class='er entityLabel'%3eBooks%3c/text%3e%3crect height='21' width='38.648284912109375' y='24' x='100.40625' class='er attributeBoxOdd'/%3e%3ctext style='dominant-baseline: middle%3b font-family: arial%2c sans-serif%3b font-size: 10.2px%3b' transform='translate(105.40625%2c34.5)' y='0' x='0' id='text-entity-RoleSeller-8acfa22b-9f47-5594-85c1-1ff5c49b86b7-attr-1-comment' class='er entityLabel'%3eread%3c/text%3e%3crect height='21' width='59.265625' y='45' x='0' class='er attributeBoxEven'/%3e%3ctext style='dominant-baseline: middle%3b font-family: arial%2c sans-serif%3b font-size: 10.2px%3b' transform='translate(5%2c55.5)' y='0' x='0' id='text-entity-RoleSeller-8acfa22b-9f47-5594-85c1-1ff5c49b86b7-attr-2-type' class='er entityLabel'%3epermission%3c/text%3e%3crect height='21' width='41.140625' y='45' x='59.265625' class='er attributeBoxEven'/%3e%3ctext style='dominant-baseline: middle%3b font-family: arial%2c sans-serif%3b font-size: 10.2px%3b' transform='translate(64.265625%2c55.5)' y='0' x='0' id='text-entity-RoleSeller-8acfa22b-9f47-5594-85c1-1ff5c49b86b7-attr-2-name' class='er entityLabel'%3eBooks%3c/text%3e%3crect height='21' width='38.648284912109375' y='45' x='100.40625' class='er attributeBoxEven'/%3e%3ctext style='dominant-baseline: middle%3b font-family: arial%2c sans-serif%3b font-size: 10.2px%3b' transform='translate(105.40625%2c55.5)' y='0' x='0' id='text-entity-RoleSeller-8acfa22b-9f47-5594-85c1-1ff5c49b86b7-attr-2-comment' class='er entityLabel'%3ecreate%3c/text%3e%3crect height='21' width='59.265625' y='66' x='0' class='er attributeBoxOdd'/%3e%3ctext style='dominant-baseline: middle%3b font-family: arial%2c sans-serif%3b font-size: 10.2px%3b' transform='translate(5%2c76.5)' y='0' x='0' id='text-entity-RoleSeller-8acfa22b-9f47-5594-85c1-1ff5c49b86b7-attr-3-type' class='er entityLabel'%3epermission%3c/text%3e%3crect height='21' width='41.140625' y='66' x='59.265625' class='er attributeBoxOdd'/%3e%3ctext style='dominant-baseline: middle%3b font-family: arial%2c sans-serif%3b font-size: 10.2px%3b' transform='translate(64.265625%2c76.5)' y='0' x='0' id='text-entity-RoleSeller-8acfa22b-9f47-5594-85c1-1ff5c49b86b7-attr-3-name' class='er entityLabel'%3eBooks%3c/text%3e%3crect height='21' width='38.648284912109375' y='66' x='100.40625' class='er attributeBoxOdd'/%3e%3ctext style='dominant-baseline: middle%3b font-family: arial%2c sans-serif%3b font-size: 10.2px%3b' transform='translate(105.40625%2c76.5)' y='0' x='0' id='text-entity-RoleSeller-8acfa22b-9f47-5594-85c1-1ff5c49b86b7-attr-3-comment' class='er entityLabel'%3edelete%3c/text%3e%3crect height='21' width='59.265625' y='87' x='0' class='er attributeBoxEven'/%3e%3ctext style='dominant-baseline: middle%3b font-family: arial%2c sans-serif%3b font-size: 10.2px%3b' transform='translate(5%2c97.5)' y='0' x='0' id='text-entity-RoleSeller-8acfa22b-9f47-5594-85c1-1ff5c49b86b7-attr-4-type' class='er entityLabel'%3epermission%3c/text%3e%3crect height='21' width='41.140625' y='87' x='59.265625' class='er attributeBoxEven'/%3e%3ctext style='dominant-baseline: middle%3b font-family: arial%2c sans-serif%3b font-size: 10.2px%3b' transform='translate(64.265625%2c97.5)' y='0' x='0' id='text-entity-RoleSeller-8acfa22b-9f47-5594-85c1-1ff5c49b86b7-attr-4-name' class='er entityLabel'%3eOrders%3c/text%3e%3crect height='21' width='38.648284912109375' y='87' x='100.40625' class='er attributeBoxEven'/%3e%3ctext style='dominant-baseline: middle%3b font-family: arial%2c sans-serif%3b font-size: 10.2px%3b' transform='translate(105.40625%2c97.5)' y='0' x='0' id='text-entity-RoleSeller-8acfa22b-9f47-5594-85c1-1ff5c49b86b7-attr-4-comment' class='er entityLabel'%3eread%3c/text%3e%3crect height='21' width='59.265625' y='108' x='0' class='er attributeBoxOdd'/%3e%3ctext style='dominant-baseline: middle%3b font-family: arial%2c sans-serif%3b font-size: 10.2px%3b' transform='translate(5%2c118.5)' y='0' x='0' id='text-entity-RoleSeller-8acfa22b-9f47-5594-85c1-1ff5c49b86b7-attr-5-type' class='er entityLabel'%3epermission%3c/text%3e%3crect height='21' width='41.140625' y='108' x='59.265625' class='er attributeBoxOdd'/%3e%3ctext style='dominant-baseline: middle%3b font-family: arial%2c sans-serif%3b font-size: 10.2px%3b' transform='translate(64.265625%2c118.5)' y='0' x='0' id='text-entity-RoleSeller-8acfa22b-9f47-5594-85c1-1ff5c49b86b7-attr-5-name' class='er entityLabel'%3eOrders%3c/text%3e%3crect height='21' width='38.648284912109375' y='108' x='100.40625' class='er attributeBoxOdd'/%3e%3ctext style='dominant-baseline: middle%3b font-family: arial%2c sans-serif%3b font-size: 10.2px%3b' transform='translate(105.40625%2c118.5)' y='0' x='0' id='text-entity-RoleSeller-8acfa22b-9f47-5594-85c1-1ff5c49b86b7-attr-5-comment' class='er entityLabel'%3edelete%3c/text%3e%3c/g%3e%3c/svg%3e)
Вы можете заметить, что присваивание разрешение-роль представляет собой отношения «многие ко многим».
Назначение ролей пользователям
Точно также как присваивание роль-разрешение, присваивание пользователь-роль также является отношением «многие ко многим». Следовательно, вы можете назначить несколько ролей одному пользователю, и одну роль можно назначить нескольким пользователям.
Соединение точек
Вот полная диаграмма отношений для модели RBAC уровня 1 в Logto:
%3bopacity:0.7%3bbackground-color:hsl(80%2c 100%25%2c 96.2745098039%25)%3b%7d%23mermaid-1 .relationshipLabelBox rect%7bopacity:0.5%3b%7d%23mermaid-1 .relationshipLine%7bstroke:%23333333%3b%7d%23mermaid-1 .entityTitleText%7btext-anchor:middle%3bfont-size:18px%3bfill:%23333%3b%7d%23mermaid-1 %23MD_PARENT_START%7bfill:%23f5f5f5!important%3bstroke:%23333333!important%3bstroke-width:1%3b%7d%23mermaid-1 %23MD_PARENT_END%7bfill:%23f5f5f5!important%3bstroke:%23333333!important%3bstroke-width:1%3b%7d%23mermaid-1 :root%7b--mermaid-font-family:arial%2csans-serif%3b%7d%3c/style%3e%3cg/%3e%3cdefs%3e%3cmarker orient='auto' markerHeight='240' markerWidth='190' refY='7' refX='0' id='MD_PARENT_START'%3e%3cpath d='M 18%2c7 L9%2c13 L1%2c7 L9%2c1 Z'/%3e%3c/marker%3e%3c/defs%3e%3cdefs%3e%3cmarker orient='auto' markerHeight='28' markerWidth='20' refY='7' refX='19' id='MD_PARENT_END'%3e%3cpath d='M 18%2c7 L9%2c13 L1%2c7 L9%2c1 Z'/%3e%3c/marker%3e%3c/defs%3e%3cdefs%3e%3cmarker orient='auto' markerHeight='18' markerWidth='18' refY='9' refX='0' id='ONLY_ONE_START'%3e%3cpath d='M9%2c0 L9%2c18 M15%2c0 L15%2c18' fill='none' stroke='gray'/%3e%3c/marker%3e%3c/defs%3e%3cdefs%3e%3cmarker orient='auto' markerHeight='18' markerWidth='18' refY='9' refX='18' id='ONLY_ONE_END'%3e%3cpath d='M3%2c0 L3%2c18 M9%2c0 L9%2c18' fill='none' stroke='gray'/%3e%3c/marker%3e%3c/defs%3e%3cdefs%3e%3cmarker orient='auto' markerHeight='18' markerWidth='30' refY='9' refX='0' id='ZERO_OR_ONE_START'%3e%3ccircle r='6' cy='9' cx='21' fill='white' stroke='gray'/%3e%3cpath d='M9%2c0 L9%2c18' fill='none' stroke='gray'/%3e%3c/marker%3e%3c/defs%3e%3cdefs%3e%3cmarker orient='auto' markerHeight='18' markerWidth='30' refY='9' refX='30' id='ZERO_OR_ONE_END'%3e%3ccircle r='6' cy='9' cx='9' fill='white' stroke='gray'/%3e%3cpath d='M21%2c0 L21%2c18' fill='none' stroke='gray'/%3e%3c/marker%3e%3c/defs%3e%3cdefs%3e%3cmarker orient='auto' markerHeight='36' markerWidth='45' refY='18' refX='18' id='ONE_OR_MORE_START'%3e%3cpath d='M0%2c18 Q 18%2c0 36%2c18 Q 18%2c36 0%2c18 M42%2c9 L42%2c27' fill='none' stroke='gray'/%3e%3c/marker%3e%3c/defs%3e%3cdefs%3e%3cmarker orient='auto' markerHeight='36' markerWidth='45' refY='18' refX='27' id='ONE_OR_MORE_END'%3e%3cpath d='M3%2c9 L3%2c27 M9%2c18 Q27%2c0 45%2c18 Q27%2c36 9%2c18' fill='none' stroke='gray'/%3e%3c/marker%3e%3c/defs%3e%3cdefs%3e%3cmarker orient='auto' markerHeight='36' markerWidth='57' refY='18' refX='18' id='ZERO_OR_MORE_START'%3e%3ccircle r='6' cy='18' cx='48' fill='white' stroke='gray'/%3e%3cpath d='M0%2c18 Q18%2c0 36%2c18 Q18%2c36 0%2c18' fill='none' stroke='gray'/%3e%3c/marker%3e%3c/defs%3e%3cdefs%3e%3cmarker orient='auto' markerHeight='36' markerWidth='57' refY='18' refX='39' id='ZERO_OR_MORE_END'%3e%3ccircle r='6' cy='18' cx='9' fill='white' stroke='gray'/%3e%3cpath d='M21%2c18 Q39%2c0 57%2c18 Q39%2c36 21%2c18' fill='none' stroke='gray'/%3e%3c/marker%3e%3c/defs%3e%3cpath style='stroke: gray%3b fill: none%3b' marker-start='url(%23ONE_OR_MORE_START)' marker-end='url(%23ONE_OR_MORE_END)' d='M70%2c95L70%2c103.333C70%2c111.667%2c70%2c128.333%2c70%2c145C70%2c161.667%2c70%2c178.333%2c70%2c186.667L70%2c195' class='er relationshipLine'/%3e%3cpath style='stroke: gray%3b fill: none%3b' marker-start='url(%23ONE_OR_MORE_START)' marker-end='url(%23ONE_OR_MORE_END)' d='M70%2c270L70%2c278.333C70%2c286.667%2c70%2c303.333%2c79.628%2c320C89.255%2c336.667%2c108.51%2c353.333%2c118.138%2c361.667L127.766%2c370' class='er relationshipLine'/%3e%3cpath style='stroke: gray%3b fill: none%3b' marker-start='url(%23ONLY_ONE_START)' marker-end='url(%23ONE_OR_MORE_END)' d='M272.18%2c270L272.18%2c278.333C272.18%2c286.667%2c272.18%2c303.333%2c262.552%2c320C252.924%2c336.667%2c233.669%2c353.333%2c224.042%2c361.667L214.414%2c370' class='er relationshipLine'/%3e%3cg transform='translate(20%2c20 )' id='entity-User-818c511a-4a32-5484-ba70-875d765a9175'%3e%3crect height='75' width='100' y='0' x='0' class='er entityBox'/%3e%3ctext style='dominant-baseline: middle%3b text-anchor: middle%3b font-family: arial%2c sans-serif%3b font-size: 12px%3b' transform='translate(50%2c37.5)' y='0' x='0' id='text-entity-User-818c511a-4a32-5484-ba70-875d765a9175' class='er entityLabel'%3eUser%3c/text%3e%3c/g%3e%3cg transform='translate(20%2c195 )' id='entity-Role-8dbdbbc4-0419-5464-aae6-f142fb2ece67'%3e%3crect height='75' width='100' y='0' x='0' class='er entityBox'/%3e%3ctext style='dominant-baseline: middle%3b text-anchor: middle%3b font-family: arial%2c sans-serif%3b font-size: 12px%3b' transform='translate(50%2c37.5)' y='0' x='0' id='text-entity-Role-8dbdbbc4-0419-5464-aae6-f142fb2ece67' class='er entityLabel'%3eRole%3c/text%3e%3c/g%3e%3cg transform='translate(121.08984375%2c370 )' id='entity-Permission-48655fad-d38f-55ef-b80b-a2e5778dc661'%3e%3crect height='75' width='100' y='0' x='0' class='er entityBox'/%3e%3ctext style='dominant-baseline: middle%3b text-anchor: middle%3b font-family: arial%2c sans-serif%3b font-size: 12px%3b' transform='translate(50%2c37.5)' y='0' x='0' id='text-entity-Permission-48655fad-d38f-55ef-b80b-a2e5778dc661' class='er entityLabel'%3ePermission%3c/text%3e%3c/g%3e%3cg transform='translate(220%2c195 )' id='entity-APIResource-f2b5b87c-e92d-553a-a516-679c3b4618ad'%3e%3crect height='75' width='104.359375' y='0' x='0' class='er entityBox'/%3e%3ctext style='dominant-baseline: middle%3b text-anchor: middle%3b font-family: arial%2c sans-serif%3b font-size: 12px%3b' transform='translate(52.1796875%2c37.5)' y='0' x='0' id='text-entity-APIResource-f2b5b87c-e92d-553a-a516-679c3b4618ad' class='er entityLabel'%3eAPI Resource%3c/text%3e%3c/g%3e%3crect height='14' width='29.34375' y='138' x='55.328125' class='er relationshipLabelBox'/%3e%3ctext style='text-anchor: middle%3b dominant-baseline: middle%3b font-family: arial%2c sans-serif%3b font-size: 12px%3b' y='145' x='70' id='rel1' class='er relationshipLabel'%3emaps%3c/text%3e%3crect height='14' width='29.34375' y='320.5440979003906' x='69.92644500732422' class='er relationshipLabelBox'/%3e%3ctext style='text-anchor: middle%3b dominant-baseline: middle%3b font-family: arial%2c sans-serif%3b font-size: 12px%3b' y='327.5440979003906' x='84.59832000732422' id='rel2' class='er relationshipLabel'%3emaps%3c/text%3e%3crect height='14' width='44.703125' y='320.54388427734375' x='235.22988891601562' class='er relationshipLabelBox'/%3e%3ctext style='text-anchor: middle%3b dominant-baseline: middle%3b font-family: arial%2c sans-serif%3b font-size: 12px%3b' y='327.54388427734375' x='257.5814514160156' id='rel3' class='er relationshipLabel'%3econtains%3c/text%3e%3c/svg%3e)
В модели RBAC разрешения всегда "позитивны", что означает, что суд о разрешении прост: если у пользователя есть разрешение, тогда принять; в противном случае, отклонить.
Допустим, Алиса имеет роль seller, Боб и Кэрол имеют роль customer. Мы описываем действия на естественном языке в первую очередь, и после транспилируем их в стандартный формат авторизации: IDENTITY выполняет ACTION на RESOURCE, наконец даем заключение.
- Алиса хочет добавить новую книгу на продажу:
- Пользователь Алиса выполняет
createна ресурсе Books (https://api.bookstore.io/books). - Поскольку Алисе было присвоено разрешение
createна книги согласно их ролиseller, результат ✅ ACCEPT.
- Пользователь Алиса выполняет
- Алиса хочет просмотреть все заказы, чтобы увидеть, соответствует ли продажа их ожиданиям:
- Пользователь Алиса выполняет
readна ресурсе Orders (https://api.bookstore.io/orders). - Так как Алисе было присвоено разрешение
readна заказы в соответствии с их рольюseller, результат ✅ ACCEPT.
- Пользователь Алиса выполняет
- Боб хочет просмотреть список книг, чтобы увидеть, есть ли какие-нибудь книги, которые они хотят приобрести.
- Пользователь Боб выполняет
readна ресурсе Books (https://api.bookstore.io/books). - Так как Бобу было присвоено разрешение
readна книги в соответствии с их рольюcusomter, результат ✅ ACCEPT.
- Пользователь Боб выполняет
- Боб хочет просмотреть заказ Кэрол.
- Так как это чужой заказ, разрешение
read:selfнаOrdersздесь не работает. - Пользователь Боб выполняет
readна ресурсе Orders (https://api.bookstore.io/order). - Так как у Боба нет разрешения
readна заказы, результат ❌ DENY.
- Так как это чужой заказ, разрешение
Другие уровни RBAC
В модели NIST RBAC есть четыре уровня:
- Flat RBAC
- Иерархический RBAC
- Ограниченый RBAC
- Симметричный RBAC
Смотрите документ для подробностей, если вам интересно.
Logto сейчас имеет реализацию уровня 1 и будет двигаться к более высоким уровням на основе отзывов сообщества. Не стесняйтесь сообщить нам, если более высокий уровень подходит к вашим потребностям!
На практике
Помимо теории, у нас еще есть тяжелые технические работы, чтобы завершить, чтобы модель работала как ожидается:
- Разработка клиента и сервера auth
- Проектирование базы данных для RBAC
- Проверка на разных сервисах
- Безопасность и соответствие открытым стандартам
- Управление ролями, разрешениями, ресурсами и назначением
Не паникуйте. Мы учли это и добавили поддержку из коробки, чтобы охватить все вышеуказанное. Проверьте 🔐 RBAC рецепт, чтобы узнать, как использовать RBAC в Logto.
Заключительные заметки
RBAC - мощная модель управления доступом для большинства случаев, но нет совершенного решения. У нас все еще есть некоторые вопросы:
- Мне нужны высокие уровни RBAC?
- Как RBAC сравнивается с другими моделями авторизации?
- Как определить модель авторизации между разными организациями?