PT
Как с помощью ACL сделать проверку доступа к "родительскому" ресурсу?
Size: a a a
2021 May 19
GK
Судя по брифу выглядит достойным внимания
VR
Поясните вопрос - т.е. есть организация, у нее есть проекты. Проект знает к какой организации относится. Чтобы был доступ к проекту - пользователь должен быть и в ACL листа и в ACL организации - если я правильно понял условие
VA
у них там всё достойно) но с ограничениями попен-сурса)
VA
в правиле acl указать доступ к родительскому ресурсу непосредственно
VA
либо я не понимаю вопроса))
PT
т.е. есть организация, у нее есть проекты. Проект знает к какой организации относится.
Верно.
Пользователь пытается получить доступ к проекту в рамках организации, но не факт, что у него есть доступ к ней. Надо при попытке доступа к проекту проверять доступ к "родительскому" ресурсу (или так по иерархии).
VR
Сорри - я все равно не очень понимаю вопрос. Если это требуется - все что нам нужно - в точке принятия решения GRANT/DENY - делать дополнительную проверку - если у объекта есть родитель - вызывать те же проверки для родителя и т.д. - рекурсивно.
Как с точки зрения решения на low level - мы определяем для всех объектов в системе общий подход для понятия "родитель". И исходя из этого строим логику проверки
Как с точки зрения решения на low level - мы определяем для всех объектов в системе общий подход для понятия "родитель". И исходя из этого строим логику проверки
PT
Да, все верно.
А теперь вопрос - есть ли уже готовые решения, в которых можно реализовать такую рекурсивную проверку?
А теперь вопрос - есть ли уже готовые решения, в которых можно реализовать такую рекурсивную проверку?
GK
а что за ограничения?
VR
Не знаю. Решения будет зависеть от того как в системе будет определено понятие "родитель", и, соответственно что из кода требуется для получения родительского объекта. Может зависеть от языка реализации - но это ни разу не "объем".
VR
Условно - нечто, что пишется на коленке как расширение к существующей реализации ACL
VA
Роадмапы и ишью на гитхабе почитать надо, там всё понятно зачастую чего ещё нет и в каком из продуктов.
GK
Понял, ок
PD
Это не RBAC, это авторизация по правам владения.
PT
Чот даже не гуглится.
PT
Может другое название есть?
PD
Хм, понятия не имею, может это гуглиться или нет.
Но по моему опыту есть минимум четыре схемы для авторизации:
RBAC (по ролям пользователя),
ABAC (по ролям пользователя и атрибутам связанных сущностей, сложно в реализации),
по владению (отдельные пользователи являются владельцами конкретных сущностей, типа "мои платежи принадлежат именно мне),
по оргструктуре (есть сущности, привязанные к моей позиции в оргструктуре, при этом есть всякие связи вида "начальник имеет доступ к подчиненным", "я замещаю такого-то и получаю доступ к данным по его позиции" и т.п.)
Каждый из подходов требует очень специфических подходов к реализации.
Но по моему опыту есть минимум четыре схемы для авторизации:
RBAC (по ролям пользователя),
ABAC (по ролям пользователя и атрибутам связанных сущностей, сложно в реализации),
по владению (отдельные пользователи являются владельцами конкретных сущностей, типа "мои платежи принадлежат именно мне),
по оргструктуре (есть сущности, привязанные к моей позиции в оргструктуре, при этом есть всякие связи вида "начальник имеет доступ к подчиненным", "я замещаю такого-то и получаю доступ к данным по его позиции" и т.п.)
Каждый из подходов требует очень специфических подходов к реализации.
DZ
ACL, access control lists скорее всего
С
В чистом виде ни один подход в развивающихся системах не покрывает всех потребностей. Или применяются не правильно.
Тот же RBAC часто скатывается одно разрешение одна роль и сотни ролей у одного пользователя. А его реализация в Zend вообще частично поддерживает Acl как второй слой
Тот же RBAC часто скатывается одно разрешение одна роль и сотни ролей у одного пользователя. А его реализация в Zend вообще частично поддерживает Acl как второй слой