Svenska
  • auktorisering
  • organisation
  • api-resurser
  • rbac

Logtos auktoriseringssystem och dess användning i identitetshanteringsscenarier

Utforska det mångsidiga auktoriseringssystemet hos Logto.

Guamian
Guamian
Product & Design

Logto fungerar inte bara som en autentiseringsleverantör utan också som en auktoriseringsleverantör. I den här artikeln ger jag en översikt över Logtos auktoriseringsmetoder och förklarar hur dessa flexibla lager kan tillämpas på olika scenarier.

Använd rollbaserad åtkomstkontroll för att skydda dina API-resurser

Registrera API-resurser i Logto

För att etablera ett auktoriseringssystem där olika användare har olika tillgång till resurser och åtgärdstillstånd, kan du börja med att registrera API-resursen i Logto och sedan lägga till tillstånd. Använd roller för att samla dessa tillstånd, oavsett om det gäller ett enda API eller tvärs över flera.

Hantera behörigheter

En fantastisk funktion hos Logto är dess förmåga att skapa olika typer av roller som kan tillämpas på olika entiteter, inklusive både användare och maskin-till-maskin-appar. Användare kan ärva användarspecifika roller, medan maskin-till-maskin-appar kan ärva roller utformade för dem.

Målentitet: Användare

Om din app är en allmän applikation där olika användare behöver utföra olika åtgärder, är användandet av användarroller ett flexibelt sätt att etablera ett effektivt åtkomstkontrollsystem.

Skapa API-resurser


Roll Rider

Målentitet: Maskin-till-maskin-app

Maskin-till-maskin (M2M) är en vanlig praxis för autentisering om du har en app som behöver prata direkt med resurser. T.ex. en API-tjänst som uppdaterar användares anpassade data i Logto, en statistikservice som hämtar dagliga beställningar, etc.

Maskin-till-maskin-appar kan användas i två viktiga användningsfall i Logto:

  1. Skydda din headless API-app genom att ställa in ett auktoriseringssystem.
  2. Använd Logtos hanterings-API för att utveckla dina tjänster, såsom att aktivera användarprofiler som tillåter slutanvändare att uppdatera sina identitetsrelaterade uppgifter.

Skillnaden med användarroller i detta sammanhang är att rollen definieras specifikt som en maskin-till-maskin-roll, inte en användarroll, och den kan endast tilldelas maskin-till-maskin-appar.

Skapa Roll

I detta API RBAC-sammanhang är API-resurser, roller och tillstånd "demokratiserade" och betraktas på systemnivå inom ett enhetligt identitetssystem. Denna metod är ganska vanlig i enklare B2C-produkter, där det finns mindre behov av komplex hierarkisk hantering.

Använd organisationstemplate (RBAC) för att skydda din organisationsnivåresurs

I B2B-scenarier kan användarroller variera mellan olika organisationer. Till exempel, John kanske har en administratörsroll i Organisation A men endast har en medlemsroll i Organisation B.

Org Template

Detta kan uppnås genom att ställa in organisationstemplates i Logto, vilket hjälper din multi-tenant-app att bygga ett åtkomstkontrollsystem.

Istället för att skapa många roller för varje organisation, gör Logto det möjligt för dig att skapa en organisationstemplate. Denna metod bibehåller konsistens över alla organisationer samtidigt som användare får flexibilitet att ha olika roller i olika organisationer.

Organisationsbehörigheterna kräver inte att en API-resurs registreras. Logto utfärdar organisationstoken som innehåller roller och andra anspråk, vilka kan användas för vidare verifiering av organisationstoken i ditt API.

Använd en organisationstemplate (RBAC) för att skydda både system- och organisationsnivåresurser

Om du har API-resurser registrerade i Logto och vill utöka deras användning till organisationsnivå, är det helt möjligt.

Detta behov kan uppstå om du använder samma endpoint för både systemnivåfunktioner och organisationsspecifika operationer. Att ha en enda endpoint är okej, och att använda organisationskontext kan också effektivt säkerställa hyresgästisolering.

I Logto kan du tilldela API-tillstånd direkt till en organisations roll och anpassa den till dina specifika krav.

Här är en snabb översikt över hur du integrerar API-tillstånd med din organisations roll.

Denna funktion är under utveckling och förväntas vara tillgänglig under första halvan av 2024.

Tilldela behörigheter

Är du exalterad över Logto-autoriseringssystem och våra kommande autoriseringsfunktioner? Registrera dig idag och få de senaste produktuppdateringarna direkt.