D
Size: a a a
2021 January 06
И
а какие именно заказы доступны этому пользователю решает уже сервис который собственно эти заказы хранит на основании идентификатора пользователя по своему абаку
А как тогда управлять данным абаком? Если на каждом сервисе свой абак, то получается что менеджерить его будет сложно. В понятие абак, я вкладываю структуру выходного токена с рядом информации о данном пользователе. Сами сервисы же держат в себе ворты, которые проверяют полномочия придаставленные токеном
И
вы путаете понятия
вы предоставляете не права на чтение приложению
а пользователь предоставляет права на чтение его данных какому-то приложению
вы предоставляете не права на чтение приложению
а пользователь предоставляет права на чтение его данных какому-то приложению
Да, я какраз и хочу их разграничить, потому что не очень понимаю. Если ограничение прав к клиентскому ПО осуществляется в разрезе прав пользователя, то получается какой то жирнющий токен, потому что таких прав может быть очень и очень много. + они не отвечают на вопрос кому все таки, и что можно. Приведу пример read:orders
Может значить дай вообще все ордеры, если я евляюсь админом системы.
Если я менеджер подразделения, то дай мне все ордеры этого подразделения.
А если я штатный человечек который просто купил что то, то вообще дай мне только мои заказы
Может значить дай вообще все ордеры, если я евляюсь админом системы.
Если я менеджер подразделения, то дай мне все ордеры этого подразделения.
А если я штатный человечек который просто купил что то, то вообще дай мне только мои заказы
И
по нему приложение обратиться на сервис заказов
тут увидит токен
спросит у сервиса авторизации - а что можно вот такому вот токену
ему скажут - ему можно crud заказов пользователя с ид 1
тут увидит токен
спросит у сервиса авторизации - а что можно вот такому вот токену
ему скажут - ему можно crud заказов пользователя с ид 1
Спросит у сервиса авторизации. По каждому запросу... А если информация нужна с 2 сервисов и более то получается что за 1 реквест к сервису авторизации сходят N раз, что бы получить информацию о доступности запрашиваемых данных. 2 момент получается что при каждом добавление каких либо ресурсов, надо обновить информацию в сервисе авторизации. Я вас верно понимаю? Мне кажется это очень дорогая и затратная операция
D
Спросит у сервиса авторизации. По каждому запросу... А если информация нужна с 2 сервисов и более то получается что за 1 реквест к сервису авторизации сходят N раз, что бы получить информацию о доступности запрашиваемых данных. 2 момент получается что при каждом добавление каких либо ресурсов, надо обновить информацию в сервисе авторизации. Я вас верно понимаю? Мне кажется это очень дорогая и затратная операция
а вы думали микросервисы это вам раз и сделал ?
применяйте паттерны для построения микросервисной архитектуры, там достаточно механизмов для снижения нагрузки
применяйте паттерны для построения микросервисной архитектуры, там достаточно механизмов для снижения нагрузки
И
Я расскажу как я себе это вижу, но не притендую на правильность... Тема очень крупная, и сложная, во всяком случае мне так кажется.
У нас есть абак на уровне аутентификационного сервиса. После того как человек прошёл аутентификацию абак запихнет в токен нужную информацию о человеке. "в каком городе работает, какая должность, кем мы его считаем в разрезе системы", и так далие... Дальше этот токен будет попадать на конкретные сервисы, и исходя из этих утверждений будет принимается решение, о предоставление доступа к ресурсу
У нас есть абак на уровне аутентификационного сервиса. После того как человек прошёл аутентификацию абак запихнет в токен нужную информацию о человеке. "в каком городе работает, какая должность, кем мы его считаем в разрезе системы", и так далие... Дальше этот токен будет попадать на конкретные сервисы, и исходя из этих утверждений будет принимается решение, о предоставление доступа к ресурсу