Русский
  • авторизация
  • организация
  • api ресурсы
  • rbac

Система авторизации Logto и ее использование в сценариях управления идентификацией

Изучите универсальную систему авторизации Logto.

Guamian
Guamian
Product & Design

Logto служит не только как провайдер аутентификации, но и как провайдер авторизации. В этой статье я дам обзор методов авторизации Logto и объясню, как эти гибкие слои могут быть применены в различных сценариях.

Используйте ролевое управление доступом для защиты вашего API-ресурса

Регистрация API-ресурсов в Logto

Чтобы создать систему авторизации, где разные пользователи имеют разный доступ к ресурсам и разрешениям на действия, вы можете начать с регистрации API-ресурса в Logto, а затем добавить разрешения. Используйте роли для агрегирования этих разрешений, независимо от того, касается ли это одного API или нескольких.

Управление разрешениями

Отличной особенностью Logto является возможность создавать различные типы ролей, которые могут быть применены к разным сущностям, включая как пользователей, так и приложения машины к машине. Пользователи могут наследовать специфические для них роли, в то время как приложения машины к машине могут наследовать роли, разработанные для них.

Целевой объект: пользователь

Если ваше приложение является общим приложением, в котором разные пользователи должны выполнять разные действия, использование пользовательских ролей - это гибкий способ обеспечить эффективный контроль доступа.

Создание API-ресурсов


Рольный гонщик

Целевой объект: приложение машина к машине

M2M (машина к машине) - это распространенная практика аутентификации, если у вас есть приложение, которому необходимо напрямую взаимодействовать с ресурсами. Например, служба API, которая обновляет пользовательские данные в Logto, статистическая служба, которая собирает ежедневные заказы и т. д.

Приложения машины к машине могут быть использованы в двух ключевых случаях использования в Logto:

  1. Защитите ваше приложение API без пользовательского интерфейса, настроив систему авторизации.
  2. Используйте API управления Logto для разработки своих служб, таких как включение профилей пользователей, которые позволяют конечным пользователям обновлять информацию, связанную с их идентичностью.

Отличие от пользовательских ролей в этом контексте заключается в том, что роль определяется специально как роль машина к машине, а не пользовательская роль, и ее можно назначать только приложениям машины к машине.

Создание роли

В этом контексте API RBAC, API-ресурсы, роли и разрешения "демократизированы" и рассматриваются на системном уровне в рамках единой системы идентичности. Этот подход довольно распространен в простых B2C-продуктах, где нет необходимости в сложном иерархическом управлении.

Используйте шаблон организации (RBAC), чтобы защитить ресурсы на уровне организации

В B2B-сценариях пользователи могут иметь разные роли в разных организациях. Например, Джон может иметь роль администратора в Организации А, но занимать только роль члена в Организации B.

Шаблон организации

Это можно достичь, настроив шаблоны организаций в Logto, что помогает вашему многосайтовому приложению построить систему контроля доступа.

Вместо создания многочисленных ролей для каждой организации, Logto позволяет создавать шаблон организации. Этот подход поддерживает согласованность во всех организациях, обеспечивая возможность пользователям иметь разные роли в разных организациях.

Разрешения организаций не требуют регистрации ресурса API. Logto выдает организационные токены, которые включают роли и другие утверждения, которые могут быть использованы для дальнейшей проверки организационного токена в вашем API.

Используйте шаблон организации (RBAC), чтобы защитить как системные, так и ресурсы уровня организации

Если у вас есть зарегистрированные в Logto API-ресурсы и вы хотите расширить их использование до уровня организации, это вполне возможно.

Эта необходимость может возникнуть, если вы используете один и тот же конечный пункт как для системных функций, так и для операций, специфичных для организации. Иметь один конечный пункт - это нормально, а использование контекста организации также может эффективно обеспечивать изоляцию арендаторов.

В Logto вы можете назначать разрешения API непосредственно роли организации, адаптируя ее к вашим конкретным требованиям.

Вот краткий обзор того, как интегрировать разрешения API с ролью вашей организации.

Эта функция находится в стадии разработки и, как ожидается, будет доступна в первой половине 2024 года.

Назначение разрешений

Вас заинтересовали системы авторизации Logto и наши будущие функции авторизации? Зарегистрируйтесь сегодня и получайте последние обновления о продуктах сразу.