亚洲在线久爱草,狠狠天天香蕉网,天天搞日日干久草,伊人亚洲日本欧美

為了賬號安全,請及時綁定郵箱和手機立即綁定
已解決430363個問題,去搜搜看,總會有你想問的

中央認證和授權服務

中央認證和授權服務

呼如林 2023-05-09 09:55:10
我想設計一些“中央認證和授權服務”,我知道已經有一對了。我擔心的不是標準。在接下來的幾行中,我將嘗試解釋它。我創建了兩個具有自己的身份驗證和授權機制的 Django 客戶端應用程序。這兩個應用程序具有不同的設計,因此具有不同的權限和角色。但是用戶是相同的?,F在我必須創建第三個應用程序,前兩個應用程序必須通過它進行身份驗證,這沒問題(例如使用 OAuth)。但是第三個應用程序也負責授權,即角色、權限(包括許多對象級權限)由第三個應用程序存儲和管理。問題是:我怎樣才能實現第三個應用程序,以便它可以支持非特定的、自由式的權限?如何存儲這些權限?我應該如何將權限轉移到客戶端應用程序?我如何查詢一些權限?我應該將所有權限存儲在第三個應用程序中并在每次用戶請求某些資源時查詢它們,還是應該將它們保存在本地并在某些時候更新它們?我查看了OpenID Connect、SAML、XACML等。SAML 和 XACML 看起來很有前途,但我仍然感到困惑,上述問題仍未得到解答。我知道這個問題涵蓋的范圍很廣,但是擁有一些入門資源和一些示例項目會有很大幫助。問候。
查看完整描述

1 回答

?
慕標5832272

TA貢獻1966條經驗 獲得超4個贊

一個可能的解決方案如下:

我怎樣才能實現第三個應用程序,以便它可以支持非特定的、自由式的權限? 使用包含用戶權限作為范圍的 JWT 令牌。

如何存儲這些權限?

  • 在第三個應用程序上存儲您的用戶模型,以及每個用戶的權限/角色。

  • 當用戶登錄時,他們將被重定向到您的第三個應用程序。身份驗證成功后,第三個應用程序可以生成 JWT 令牌形式的 access_token,其中包括用戶擁有的權限作為范圍。

  • 然后,您可以讓前端在對客戶端應用程序的 API 請求中包含此 access_token??蛻舳藨贸绦蚩梢则炞C access_token 并檢查用戶的范圍/權限以確定用戶是否可以訪問某些數據。

我應該如何將權限轉移到客戶端應用程序? 您的客戶端應用程序可以在每個 API 請求中驗證/讀取 JWT 令牌中包含的范圍

我如何查詢一些權限? 不確定這意味著什么,我可以解釋 2 個不同的東西:

  1. 以Github為例,一個Github App可以指定自己需要read訪問和email訪問(但不是write訪問權限),用戶可以進行身份驗證,只能批準reademail訪問。在這種情況下,授權服務器 (Github) 將生成一個僅包含范圍的 JWT read,email即使用戶具有其他可用權限也是如此。

  2. 如果您談論的是客戶端應用程序想要知道用戶是否具有特定權限,那么它可以只查看 JWT 中包含的范圍。您可能需要為客戶端應用程序中的每個端點定義所需的范圍。

我應該將所有權限存儲在第三個應用程序中并在每次用戶請求某些資源時查詢它們,還是應該將它們保存在本地并在某些時候更新它們?

每個用戶的權限可以存儲在第三個應用程序中,客戶端應用程序只信任 JWT 中包含的范圍。由于 access_token 應該是短暫的(例如它會在 1 小時后過期),因此可以通過更新 access_token 來處理用戶權限級別的更改。


查看完整回答
反對 回復 2023-05-09
  • 1 回答
  • 0 關注
  • 139 瀏覽
慕課專欄
更多

添加回答

舉報

0/150
提交
取消
微信客服

購課補貼
聯系客服咨詢優惠詳情

幫助反饋 APP下載

慕課網APP
您的移動學習伙伴

公眾號

掃描二維碼
關注慕課網微信公眾號