[认证授权] 6.Permission Based Access Control

权限控制新思路
最新推荐文章于 2024-05-28 08:15:00 发布
转载 最新推荐文章于 2024-05-28 08:15:00 发布 · 336 阅读 · 0

在前面5篇博客中介绍了OAuth2和OIDC(OpenId Connect),其作用是授权和认证。那么当我们得到OAuth2的Access Token或者OIDC的Id Token之后,我们的资源服务如何来验证这些token是否有权限来执行对资源的某一项操作呢?比如我有一个API,/books,它具有如下5个操作:

POST /books添加一本书
GET /books/{id}获取一本书
PUT /books/{id}更新一本书
DELETE /books/{id}删除一本书
GET /books  获取书的列表

其伪代码如下:

[Route("books")]
public class BooksController : Controller
{
    [HttpGet("")]
    public Book[] Get() { return null; }

    [HttpGet("{bookId}")]  
    public Book Get(int bookId) { return null; }

    [HttpPost("")]    
    public Book Post(Book book) { return null; }

    [HttpPut("{bookId}")]   
    public Book Put(int bookId, Book book) { return null; }

    [HttpDelete("{bookId}")]   
 public Book Delete(int bookId) { return null; }
}

那么我们先看看基于OAuth2的Access Token,OIDC的Id Token和传统的基于角色的权限控制是如何处理控制这些资源的操作。

1 OAuth2的Access Token之Scope

我们都知道OAuth2的最终产物是提供给我们一个Access Token,而这个Access Token中包含了一个Scope的字段,这个字段代表的是授权服务器或者资源拥有者授予第三方客户端允许操作资源服务器的哪些资源的范围。这里有一点需要注意的是,这个授权过程可以有资源拥有着的参与(Authorization Code,Implicit,Resource Owner Password Credentials Grant),也可以没有他的参与(Client Credentials Grant)。那么基于上述的books的资源,我们可以定义一个 user_manager 的Scope,来控制对books的五个操作的权限控制。那么Books的基于Scope的权限控制看起来就像是这样的:

[Route("books")]
public class BooksController : Controller
{
    [HttpGet("")]    
[Scope("book_manager")]    
public Book[] Get() { return null; }

    [HttpGet("{bookId}")]    
[Scope("book_manager")]    
public Book Get(int bookId) { return null; }

    [HttpPost("")]    
[Scope("book_manager")]    
public Book Post(Book book) { return null; }

    [HttpPut("{bookId}")]    
[Scope("book_manager")]    
public Book Put(int bookId, Book book) { return null; }

    [HttpDelete("{bookId}")]    
[Scope("book_manager")]    
public Book Delete(int bookId) { return null; }
}

注意看红色的部分,为每一个操作都添加了一个Scope的描述。如果Access Token拥有user_manager这个Scope(不管他是OAuth2的哪一个授权方式颁发的,我们的最终代码部分只认Scope),那么对这些API的调用就是被允许的,否则视为无权操作。

2 OIDC的Id Token之sub

关于Id Token的用途以及其包含哪些信息请参考Id Token。Id Token和Access Token的不同之处在于它一定是包含某一个用户的标识 sub ,但是没有Scope,这是因为Id Token的用途是认证当前用户是谁,所以用户是必须存在的;由于仅仅是认证,则不会包含被认证用户可以做哪些操作之类的授权相关的事情。那么针对Id Token,我们的API应该如何进行权限管控呢?通常的做法是使用传统的基于校色的权限控制(Role Based Access Control)。其实现细节就不解释了,它的模型大致是:一个实体(用户或者组织)拥有一组角色,每一个角色代表着一组权限集合。感觉是不是和Scope很像呢,其实差不多。我们定义一个这样的角色 图书管理员 吧。这里是故意和Scope的命名区分开的,因为其来源不同,那么我们最终实现的时候也会是独立开来的。

 1 [Route("books")] 
 2 public class BooksController : Controller 
 3 { 
 4     [HttpGet("")] 
 5     [Scope("book_manager")] 
 6     [Role("图书管理员")] 
 7     public Book[] Get() { return null; } 
 8  
 9     [HttpGet("{bookId}")]
10     [Scope("book_manager")]
11     [Role("图书管理员")]
12     public Book Get(int bookId) { return null; }
13 
14     [HttpPost("")]
15     [Scope("book_manager")]
16     [Role("图书管理员")]
17     public Book Post(Book book) { return null; }
18 
19     [HttpPut("{bookId}")]
20     [Scope("book_manager")]
21     [Role("图书管理员")]
22     public Book Put(int bookId, Book book) { return null; }
23 
24     [HttpDelete("{bookId}")]
25     [Scope("book_manager")]
26     [Role("图书管理员")]
27     public Book Delete(int bookId) { return null; }
28 }

如果 sub 代表的用户自身拥有或者其所属的组织机构拥有(不管其是怎么组织管理的吧,最终我们可以知道这个用户是否具有某一个角色) 图书管理员 这个角色。则允许其访问books的这些操作。

3 以上两种方式的弊端在哪里?

其实不止以上两种,比如在Asp.Net Core中有内置的这些授权控制组件:

1 [Authorize(Policy = "AtLeast21")]2 public class AlcoholPurchaseController : Controller3 {4     public IActionResult Login() => View();5 6     public IActionResult Logout() => View();7 }

以上这些本质上和上面的基于Scope和基于Role的属于同一种类型。我们这样做当然可以工作,但是问题来了,它们直观吗,灵活吗?繁琐吗?好用吗?能满足我们变化的需求吗?总有着一种把简单的事情搞复杂的感觉。比如现在我增需要增加一个角色,超级管理员,那么上述的代码是不是需要我们做出改变呢?

1 [HttpGet("")]2 [Scope("book_manager")]3 [Role("图书管理员","超级管理员")]4 public Book[] Get() { return null; }

再比如,现在需要增加一个Scope book_reader ,它只能执行读取的操作,又要做出改变了吧。况且即使我们把Scope和Role合二为一了,还是混乱不堪。

4 基于权限为最小粒度的解决方案

那么造成这些问题的根本原因是什么?答:不管是Scope还是Role它们体现的都是一个隐式的描述信息,而不是某一个具体的操作行为的描述信息。既然我们知道了其症结所在,那么怎么解决这个问题呢?原理很简单,使用权限作为我们的最小单元,把Scope和Role等等还有其他的一些管理组织权限的概念都作为一个中间层,禁止它们出现在接口权限验证的地方,而是仅作为管理组织Permission的手段存在。然后改造上面的代码如下:

 1 [Route("books")] 
 2 public class BooksController : Controller 
 3 { 
 4     [HttpGet("")] 
 5     [Permission("books.read")] 
 6     public Book[] Get() { return null; } 
 7  
 8     [HttpGet("{bookId}")] 
 9     [Permission("book.read")]
10     public Book Get(int bookId) { return null; }
11 
12     [HttpPost("")]
13     [Permission("book.add")]
14     public Book Post(Book book) { return null; }
15 
16     [HttpPut("{bookId}")]
17     [Permission("book.edit")]
18     public Book Put(int bookId, Book book) { return null; }
19 
20     [HttpDelete("{bookId}")]
21     [Permission("book.delete")]
22     public Book Delete(int bookId) { return null; }
23 }

我们把每一个操作都定义一个权限Permission,不管你是Access Token的Scope,还是Role,都不会在这里出现。比如在检查超级管理员是不是能操作的时候,我们可以直接放行(把这些检查和我们对接口的操作权限的描述分开)。如果是名为book_reader的Scope的时候,我们让book_reader只关联books.read和book.read这两个Permission,而这种关联关系的管理,我们是可以通过数据存储来维持的,也很方便的提供管理页面来灵活的配置。而最终的代码上关心的只是Permission。这种方式可以称为Resource Based Access Control或者Permission Based Access Control。

5 Apache Shiro

以上是我自己的一些理解和思路,然后我发现了Apache Shiro这个项目,感觉就像是找到了组织,Apache Shiro走的更远,而且为Permission定义了一套规则。强烈建议读一读https://shiro.apache.org/permissions.html这篇文档。而.Net这边就没有这么好的福气了,,,Asp.Net Core中的默认授权过滤器还是传统的方式。

 

不过基于Asp.Net Core的Filter:IAuthorizationFilter,我们可以把这一整套授权控制方式给替换掉:使用代码:https://github.com/linianhui/oidc.example/tree/master/src/web.oauth2.resources;Filters代码:https://github.com/linianhui/oidc.example/tree/master/src/aspnetcore.filters.permissions。

从此和讨厌的 [Authorize(Roles ="图书管理员",Policy ="XXX")] 说再见。

以上只是个人的一些理解,如有错误,欢迎指正。

参考

https://shiro.apache.org/

强烈推荐:https://shiro.apache.org/permissions.html

https://stormpath.com/blog/new-rbac-resource-based-access-control

https://docs.microsoft.com/en-us/aspnet/core/security/authorization/

相关文章: 

原文地址:https://www.cnblogs.com/linianhui/p/permission-based-access-control.html

.NET社区新闻,深度好文,欢迎访问公众号文章汇总 http://www.csharpkit.com
基于角色的访问控制(Role-Based Access Control,简称RBAC)
闫小甲的专栏
07-21 1918
RBAC的核心思想是“职责分离”和“最小权限原则”,以确保系统的安全性和合规性。
基于角色的访问控制(Role-Based Access Control, RBAC)
lunan的博客
10-16 1186
"""定义权限类""""""定义角色类,角色可以包含多个权限""""""定义用户类,用户可以有多个角色"""# 检查用户的所有角色是否拥有某个权限# 定义权限# 定义角色# 定义用户# 给用户分配角色user1.add_role(admin_role) # Alice 是管理员user2.add_role(editor_role) # Bob 是编辑user3.add_role(viewer_role) # Charlie 是浏览者。
越权攻击入门讲解
jakelihua
04-24 615
越权攻击(Authorization Bypass)是一种安全漏洞,它允许攻击者访问或操作他们本不应该有权限的资源或数据。这种攻击通常发生在应用程序的身份验证和访问控制机制未能正确实施时。
防止特权升级攻击的有效策略
常备不懈
05-28 2125
特权升级攻击是一种通过利用操作系统或应用程序中的编程错误、漏洞、设计缺陷、配置错误或访问控制缺陷,获得对原本应该被限制访问的资源进行未授权访问的行为。这种攻击方式可能导致攻击者获取敏感数据、安装恶意软件并发动其他网络攻击。为了保护系统和应用程序免受特权升级攻击,必须采取一系列有效的防护措施。
python开发信息系统权限设置_django认证系统实现自定义权限管理的方法
weixin_39709178的博客
11-29 222
本文记录使用django自带的认证系统实现自定义的权限管理系统,包含组权限、用户权限等实现。0x01. django认证系统django自带的认证系统能够很好的实现如登录、登出、创建用户、创建超级用户、修改密码等复杂操作,并且实现了用户组、组权限、用户权限等复杂结构,使用自带的认证系统就能帮助我们实现自定义的权限系统达到权限控制的目的。0x02. 认证系统User对象User对象顾名思义即为表示用...
Access Control: Database(数据库访问控制)2020最新相关解析及完整解决方案
热门推荐
qq891714047的博客
08-28 1万+
知识库:Access Control: Database(数据库访问控制) 规则描述 数据库访问控制是指程序未进行恰当的访问控制,执行了一个包含用户控制主键的SQL语句,由于服务器端对客户提出的数据操作请求过分信任,忽略了对该用户操作权限的判定,导致修改相关参数就可以拥有了其他账户的增、删、查、改功能。如果在一个应用中,用户能够访问他本身无权访问的功能或者资源,就说明该应用存在访问控制缺陷,也就存在越权漏洞。详见CWE ID566: Authorization Bypass Through User-C
一个基于角色的权限管理系统(RABC)Role Based Access Control.zip
07-23
基于角色的访问控制(Role-Based Access Control,简称RABC)是一种广泛应用于Web应用程序中的权限管理模型。RABC的核心思想是将用户与权限通过角色进行关联,用户通过扮演不同的角色来获取相应的操作权限。这种模型...
role-based access control (rbac)
05-20
基于角色的访问控制(Role-Based Access Control,简称 RBAC)是一种广泛应用于现代信息系统中的安全机制,其核心思想是通过定义不同的角色来实现对用户权限的有效管理和控制。这种机制不仅能够简化系统的权限配置,...
权限管理、Role Based Access Control(RBAC)基于角色的权限控制-cnesa.zip
11-06
在IT领域,权限管理和Role-Based Access Control(RBAC)是至关重要的安全机制,尤其是在大型企业或组织中。本文将深入探讨这两个概念,并结合"CNESA"项目中的实践应用进行阐述。 首先,权限管理是控制系统资源访问...
访问控制 Access Controls
小田的笔记簿
11-23 1240
访问控制 Access Controls 文章目录访问控制 Access ControlsIdentification 标识Authentication 认证Authorization 授权Accountability 审计 来源:信息安全(四) 访问控制 https://wenku.baidu.com/view/bb0679e109a1284ac850ad02de80d4d8d15a01a9....
Authorization Bypass in RSA NetWitness
weixin_33991418的博客
06-10 364
https://www.cnblogs.com/iAmSoScArEd/ SEC Consult Vulnerability Lab Security Advisory < 20190515-0 >=======================================================================  title: Authorization ...
RBAC新解:基于资源的权限管理(Resource-Based Access Control)
汪小哥
12-19 8841
什么是角色 当说到程序的权限管理时,人们往往想到角色这一概念。角色是代表一系列可执行的操作或责任的实体,用于限定你在软件系统中能做什么、不能做什么。用户帐号往往与角色相关联,因此,一个用户在软件系统中能做什么取决于与之关联的各个角色。 例如,一个用户以关联了”管理员”角色的帐号登录系统,那这个用户就可以做项目管理员能做的所有事情哦,管理员可以做啥,整个用户就可以得到所有的权限。基于角色的访问控制
Openzeppelin学习记录一:access模块(AccessControl.sol+Ownable.sol)
qq_40411401的博客
06-10 8356
Openzeppelin学习记录Openzeppelin学习记录模块结构1. access1.1 AccessControl.sol1.2 AccessControlEnumerable.sol1.3 Ownable.sol Openzeppelin学习记录 本文只记录学习过程中的的一些想法和问题,目前没有实操。 本人英文文档阅读能力有限,这也是第一次尝试阅读英文文档(之前都是看的中文版,但这次搜到的都太老了,solidity还在用0.4+的版本~),如有错误欢迎大家批评指正! 模块结构 从github上下
AutomatemanagingofSTM32CubeMX+PlatformIOprojects.zip
09-08
AutomatemanagingofSTM32CubeMX+PlatformIOprojects.zip
xapp1276-vcxo_中英文对照版_2025年.pdf
09-08
xapp1276-vcxo_中英文对照版_2025年
wp511-risk-mgmt_中英文对照版_2025年.pdf
09-08
wp511-risk-mgmt_中英文对照版_2025年
MFoCN 网络空间安全数学基础应用参考材料 本仓库包含: 1. 隐式马尔可夫模型识别XSS攻击 2. Primpoly
最新发布
09-08
MFoCN 网络空间安全数学基础应用参考材料 本仓库包含: 1. 隐式马尔可夫模型识别XSS攻击 2. PrimpolyC 3. 利用Jaccard系数进行共享代码分析.zip
Vulnerability Wiki 是一个致力于构建全面、系统、多维度的漏洞知识共享平台,涵盖从Web应用、系统内核、
09-08
Vulnerability Wiki 是一个致力于构建全面、系统、多维度的漏洞知识共享平台,涵盖从Web应用、系统内核、网络协议、IoT设备、移动端到配置失误等各类安全漏洞,旨在服务于 学习者、研究者、工程师、安全从业者及大众技术爱好者。 vul-wiki.org.zip
Role-Based Access Control,代码改如何写?
09-01
### 回答1: Role-Based Access Control (RBAC) 是一种常见的访问控制模型,用于管理系统中用户的权限。在代码中实现 RBAC 需要考虑以下几个步骤: 1. 定义角色和权限:首先需要定义系统中的角色和对应的权限。角色是系统中的一组用户,权限是角色所能执行的操作。 ```python # 定义角色和权限 roles = { 'admin': ['create', 'read', 'update', 'delete'], 'editor': ['create', 'read', 'update'], 'viewer': ['read'] } ``` 2. 定义用户和角色:然后需要将用户与角色进行关联。用户可以有多个角色,角色可以被多个用户所拥有。 ```python # 定义用户和角色 users = { 'user1': ['admin', 'editor'], 'user2': ['viewer'] } ``` 3. 检查用户权限:最后,在需要进行权限检查的地方,比如某个接口的实现中,需要检查用户是否有执行该操作的权限。可以通过检查用户所拥有的角色是否拥有对应的权限来实现。 ```python # 检查用户权限 def can_user_access(user, permission): if user in users: for role in users[user]: if role in roles and permission in roles[role]: return True return False ``` 上述代码示例仅供参考,实际实现中需要根据具体的场景和需求进行适当的修改和扩展。 ### 回答2: Role-Based Access Control(RBAC)是一种基于角色的访问控制方法,用于限制用户对系统中资源的访问权限。在代码中实现RBAC时,通常可以按照以下步骤进行: 1. 创建角色和权限:首先,需要定义系统中所需的角色和权限。可以为每个角色指定一组权限,例如管理员角色可以访问系统的所有功能,而普通用户只能访问部分功能。 2. 定义用户角色和权限:在系统中,为每个用户分配适当的角色和权限。可以通过在用户表中设置角色字段或权限字段来维护用户的访问权限。 3. 实现访问控制逻辑:在代码中,需要实现一些逻辑来控制用户对资源的访问权限。可以在每个功能模块或页面上加入权限检查,验证用户是否有足够的权限访问该资源。如果用户没有权限,可以返回错误信息或跳转到其他页面。 4. 管理角色和权限:在代码中,应提供一些管理界面或功能,用于修改角色和权限的分配。这样管理员可以根据实际需求对用户的权限进行动态调整。 5. 日志记录和审计:为了追踪和监控用户的访问行为,可以在代码中加入日志记录和审计功能。这样可以记录用户的操作,以便后续的安全审计和问题追踪。 6. 异常处理:RBAC在代码中的实现可能会遇到一些异常情况,例如权限错误、角色不存在等。为了保证系统的安全性和稳定性,需要进行适当的异常处理,如抛出异常、记录错误日志等。 综上所述,实现RBAC需要定义角色和权限,管理用户的角色和权限分配,实现访问控制逻辑,提供权限管理功能,加入日志记录和审计功能,进行异常处理等步骤。这样可以有效地控制用户对系统资源的访问权限,提高系统的安全性和可维护性。 ### 回答3: Role-Based Access Control (RBAC) 是一种授权机制,允许系统管理员根据用户的角色来分配权限。在代码中实现 RBAC 的一种常见方法是通过以下步骤: 1. 定义角色和权限:首先,需要确定系统中的各种角色以及每个角色所需的权限。可以创建一个角色表并在数据库中进行存储。 2. 创建用户表:创建一个用户表,其中会包含一些基本信息,如用户名、密码和所属角色等。 3. 登录验证:在用户登录时,需要验证用户的身份和密码。验证成功后,将会返回用户的角色。 4. 访问权限验证:在需要进行权限验证的地方,比如用户试图访问某个资源或执行某个操作时,可以在代码中进行权限验证。 5. 实施访问控制:在验证用户角色和权限通过后,可以允许用户访问资源或执行操作。否则,将拒绝访问或返回错误信息。 具体来说,可以将 RBAC 逻辑封装到一个单独的模块中,以便在整个系统中复用。可以编写一些函数或方法,实现上述步骤中的各个功能。例如,可以编写一个函数来验证用户登录信息,并返回用户的角色;另一个函数来验证用户是否具有访问某个资源的权限。可以根据具体需求,选择使用数据库、配置文件等方式来存储和管理角色、用户和权限信息。 RBAC 的代码实现可以根据具体的编程语言和框架来进行,但以上的基本步骤和逻辑是通用的。此外,还可以根据实际需求对 RBAC 进行扩展,比如添加用户组、角色继承等功能,以满足更灵活的授权管理需求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值