我正在寻找授权服务的最佳架构,在应用服务层,提供服务中的通用授权检查。
理想情况下,它可能应该是单一服务,授权用户对所有聚合执行操作。浏览列表,读取/编辑项目,读取/编辑自有项目等。
我正在考虑使用授权适配器为每个议程服务,通过存储库上的方法阅读解决方案,但我觉得我正在重新发明轮子。 :-)
你有任何想法或良好的阅读/来源?
您正在寻找的是外部化动态授权,也称为基于属性的访问控制(ABAC)。在ABAC中,有一个体系结构定义了一个通用授权服务,您可以根据策略(通常用alfa编写)和用户角色,许可,数据敏感性等属性来查询以获取授权决策(允许/拒绝)。 ..
美国国家标准与技术研究院国家标准与技术研究所(NIST)对ABAC:https://csrc.nist.gov/publications/detail/sp/800-162/final进行了很好的报道
您可以查看Keycloak,这是一个用于身份和访问管理的开源工具:
https://www.keycloak.org/docs/latest/authorization_services/index.html