我正在开发一个由 2 个请求后端 REST-API 的前端应用程序组成的项目。
目前我们应用程序的组织非常简单,但它很快就会发展。
前端:
后端:
背景:
目前我们没有一个清晰的架构来管理访问策略,业务逻辑分布在两个应用程序中,这会导致几个问题:
我最初的想法是将访问策略逻辑集中在 API 上。通过这种方式,我们可以防止重复,所有规则都在代码库的一部分中,如果我们稍后决定添加前端应用程序甚至 API 微服务,它也会更好地扩展。
缺少的一点是:如何跨后端和前端共享访问策略?
示例:
route: GET /user/access_policies
response :
{
author: {
read: true,
create: true,
update: false,
delete: false
},
books: {
read: true,
create: true,
update: true,
delete: false,
}
}
我还可以在简单的 CRUD 动词之外公开特定的业务策略:
{
books: {
read: true,
create: false,
update: false,
delete: false,
deleteOwnBooks: true, // custom business policy (only delete the books owned by the current user)
deletePublishedBook: true, // same
}
}
您对于共享此类访问策略还有其他建议或最佳实践吗?
我们最终采用了以下解决方案: 公开对
User
资源的全局权限。
type User = {
id: string
permissions: {
author: {
read: boolean,
create: boolean,
update: boolean,
delete: boolean
},
books: {
read: boolean,
create: boolean,
update: boolean,
delete: boolean // Your user role allow you to delete books
}
}
}
为了启用细粒度的资源权限,我们直接从指定的资源公开它们。
type Book = {
id: string
name: string
permissions: {
delete: boolean // Check if the book is yours and if its published
}
}
目前来看,这种模式很符合我们的需求。然而,需要注意的一个方面是性能,因为它引入了额外的计算。通常,我们通过利用 Rest API 中的专用查询参数按需查询权限来解决此问题。
如果一般授权(特别是 ABAC)在您的架构中发挥着如此重要的作用,那么我建议您研究类似 OPA 的内容。 如果您可以切换到 RBAC,最简单的方法是在身份提供者中配置角色,并将它们作为您传递的 JWT 中的声明获取。