如何理解權(quán)限系統(tǒng)的基本概念和架構(gòu)

本篇內(nèi)容主要講解“如何理解權(quán)限系統(tǒng)的基本概念和架構(gòu)”，感興趣的朋友不妨來(lái)看看。本文介紹的方法操作簡(jiǎn)單快捷，實(shí)用性強(qiáng)。下面就讓小編來(lái)帶大家學(xué)習(xí)“如何理解權(quán)限系統(tǒng)的基本概念和架構(gòu)”吧!

授權(quán)流程

在授權(quán)流程中主要有三個(gè)部分，分別是資源管理，權(quán)限和策略管理，策略的執(zhí)行。

先看下資源管理：

首先我們需要?jiǎng)?chuàng)建一個(gè)資源服務(wù)器，然后在資源服務(wù)器中創(chuàng)建各種資源，最后對(duì)各種資源設(shè)置一些scope,scope就是跟資源相關(guān)的的一些可執(zhí)行的操作。

什么是資源呢？資源可以是一個(gè)web頁(yè)面，一個(gè)RESTful資源，一個(gè)文件等等。

舉個(gè)例子，假如我們有一個(gè)圖書(shū)館資源服務(wù)器，圖書(shū)館有一個(gè)本《人月神話》的書(shū)，那么這本書(shū)就被稱作資源。接下來(lái)我們需要為這個(gè)資源定義一些可操作性的scope，或者說(shuō)策略。比如說(shuō)只有本校的學(xué)生才能夠借閱這本書(shū)。

當(dāng)我們定義好資源之后，就需要對(duì)這些資源進(jìn)行一些權(quán)限和策略的設(shè)置，這就需要進(jìn)行權(quán)限和策略管理。

看下權(quán)限和策略管理的流程：

首先是創(chuàng)建策略，然后定義權(quán)限，最后將權(quán)限和策略進(jìn)行關(guān)聯(lián)。

策略就是定義的一些去訪問(wèn)某些資源或者權(quán)限的操作，策略是和具體的權(quán)限是分離的，策略只制定了在什么情況下可以做（某些事情），或者在某些情況下不能做（某些事情），這些事情就是后面創(chuàng)建的權(quán)限。

比如說(shuō)，擁有user角色可以做什么事情，就是一種策略。

策略定義好了，我們就可以創(chuàng)建權(quán)限了，權(quán)限很好理解，比如：借《人月神話》的書(shū)的權(quán)限。

我們把策略和權(quán)限組合起來(lái)就是：擁有user角色的，可以借《人月神話》這本書(shū)。

通用的策略有很多種，比如說(shuō)基于屬性的訪問(wèn)策略，基于角色的訪問(wèn)策略，基于用戶的訪問(wèn)策略，基于上下文的訪問(wèn)策略，基于時(shí)間的訪問(wèn)策略，基于規(guī)則的訪問(wèn)策略或者其他的自定義策略等。

通常來(lái)說(shuō)，基于角色的訪問(wèn)策略role-based access control (RBAC)是最常用的。

我們把用戶賦予相應(yīng)的角色，然后在訪問(wèn)資源的時(shí)候根據(jù)不同的角色策略來(lái)執(zhí)行不同的permission操作。

雖然RBAC非常有用，用途也非常廣泛，但是它還是有下面的幾個(gè)缺點(diǎn)：

1. 資源和角色是強(qiáng)綁定的，如果我們對(duì)角色進(jìn)行一些添加，刪除和修改操作，將會(huì)影響到所有相關(guān)聯(lián)的資源。

2. 對(duì)于角色的修改則可能需要我們對(duì)代碼進(jìn)行修改。

3. 如果你的應(yīng)用程序非常大的話，使用RBAC可能會(huì)出現(xiàn)一些錯(cuò)誤。

4. RBAC的靈活性不夠強(qiáng)，不能夠做到更加細(xì)粒度的權(quán)限控制。

最后，我們看一下策略的執(zhí)行。

策略的執(zhí)行就是真正的在資源服務(wù)器上執(zhí)行相應(yīng)的授權(quán)工作。一般來(lái)說(shuō)我們?cè)谫Y源服務(wù)器中有一個(gè) Policy Enforcement Point （PEP）來(lái)和授權(quán)服務(wù)器進(jìn)行交互，根據(jù)授權(quán)服務(wù)器返回的授權(quán)信息來(lái)執(zhí)行相應(yīng)的資源操作。

權(quán)限系統(tǒng)的架構(gòu)

先看一張權(quán)限系統(tǒng)的基本架構(gòu)圖：

其中有下面幾個(gè)關(guān)鍵組件：

• PAP全稱是Policy Administration Point，它是一個(gè)權(quán)限管理的后臺(tái)頁(yè)面，我們需要這樣的一個(gè)后臺(tái)界面來(lái)配置和管理權(quán)限和資源。

• PDP全稱是Policy Decision Point，它提供了一些決策策略，通過(guò)這些策略將授權(quán)請(qǐng)求發(fā)送到相應(yīng)的位置，并根據(jù)請(qǐng)求的權(quán)限對(duì)策略進(jìn)行相應(yīng)的決策。

• PEP全稱是Policy Enforcement Point，在不同的資源服務(wù)器中執(zhí)行相應(yīng)的策略。

• PIP全稱是Policy Information Point，在判斷和決策策略的時(shí)候，可以從中獲取相應(yīng)的屬性信息。

上圖中，Storage就是數(shù)據(jù)的存儲(chǔ)和分類，這里我們主要存儲(chǔ)resouce,scope,permission和policy這4種對(duì)象。

resource代表的是要訪問(wèn)的對(duì)象，可以是一個(gè)或者多個(gè)對(duì)象的集合。比如說(shuō)：web程序中的頁(yè)面等等。資源是受保護(hù)的對(duì)象，需要為資源配置一些權(quán)限。

每個(gè)資源都有一個(gè)唯一的標(biāo)識(shí)符，可以代表一個(gè)資源或一組資源。 例如，你可以管理一個(gè)銀行帳戶資源，該資源代表并定義了所有銀行帳戶的一組授權(quán)策略。 但是，你也可以使用另一個(gè)名為Alice's Banking Account的資源，該資源代表由單個(gè)客戶擁有的單個(gè)資源，該資源可以具有自己的一組授權(quán)策略。

我們看一個(gè)resource的例子：

上圖中，我們將不同的URI定義為resource。并給不同的resource起了唯一的名字。

Scope是對(duì)資源的一系列操作，比如你可以對(duì)資源進(jìn)行讀，寫(xiě)或者編輯，刪除操作，這些都可以被稱之為scope。當(dāng)然，你也可以指定resource中的某個(gè)屬性作為scope。

然后就是Permission，權(quán)限將受保護(hù)的對(duì)象與是否授予訪問(wèn)權(quán)限的策略相關(guān)聯(lián)。

比如我們有下面一個(gè)權(quán)限：

X CAN DO Y ON RESOURCE Z

x表示的是一個(gè)或者多個(gè)用戶，角色或者groups，或者是他們的組合。

Y表示的是對(duì)資源的一種操作。

Z就是資源了，比如/index頁(yè)面。

我們可以創(chuàng)建基于resource的permission:

也可以創(chuàng)建基于scope的permission：

Policy定義了要授予對(duì)象訪問(wèn)權(quán)限必須滿足的條件。Policy并沒(méi)有指明要保護(hù)的對(duì)象，只是指定了訪問(wèn)給定對(duì)象必須滿足的條件。

比如上面的Policy，指定了什么樣的角色，針對(duì)什么樣的client，制定出來(lái)的什么樣的邏輯。

有了策略就需要一個(gè)Policy Provider，Policy Provider主要為我們提供特定策略類型的實(shí)現(xiàn)。

為了做好策略評(píng)估的工作，我們還需要一個(gè)策略評(píng)估引擎，通過(guò)這個(gè)engine來(lái)執(zhí)行策略的評(píng)估工作。

除此之外，作為一個(gè)認(rèn)證服務(wù)器，我們還需要對(duì)外提供認(rèn)證服務(wù)，那么最好的辦法就是提供OAuth3或者OpenID Connect的token服務(wù)。

另外我們還需要一個(gè)Protection API，用于resource server和權(quán)限管理服務(wù)進(jìn)行交互。

到此，相信大家對(duì)“如何理解權(quán)限系統(tǒng)的基本概念和架構(gòu)”有了更深的了解，不妨來(lái)實(shí)際操作一番吧！這里是億速云網(wǎng)站，更多相關(guān)內(nèi)容可以進(jìn)入相關(guān)頻道進(jìn)行查詢，關(guān)注我們，繼續(xù)學(xué)習(xí)！