D
Могу озадасится и поискать пруфы, это про одно и тоже) oidc это скорее расширение стандарта)
Size: a a a
2021 January 06
SP
есть делигейтед токены - когда ты запрашиваешь до auth tokens с конкретными пермишенами (что бы least previliged принцип соблюбдать)
И
встроенная. Нам удобно потому что айдишка юзера лежит в токене и не надо никуда ходить за деталями. Опять же как сказал Игорь - openid только про аутентификацию.
Сергей, я верно понимаю что scope это про предоставления доступов клиентскому ПО, а ABAC это предоставление прав пользователю?
SP
Сергей, я верно понимаю что scope это про предоставления доступов клиентскому ПО, а ABAC это предоставление прав пользователю?
тип того. Мол скоуп редактировать юзеров у тебя может и есть но вот имеешь ты право редактировать именно этого юзера - это уже про ABAC.
И
тип того. Мол скоуп редактировать юзеров у тебя может и есть но вот имеешь ты право редактировать именно этого юзера - это уже про ABAC.
😘😘😘😘😘😘
SP
и JWT могут быть удобны именно тут - когда операцию делает одна система а все атрибуты может ты делать что-то или нет у другой. Мол ты у той системы со своими скоупами по атрибутам проверяешь есть ли пермишены и если есть - выдаешь jwt токен для выполнения собственно операции. И эта операция уже по сути к конкретному юзеру привязана скажем. Мол можешь заливать автораки для этого конкретного юзера
D
встроенная. Нам удобно потому что айдишка юзера лежит в токене и не надо никуда ходить за деталями. Опять же как сказал Игорь - openid только про аутентификацию.
а куда и как потом сервис ходит за правами для конкретного юзера?
или вы права вкладываете в jwt прямо который генериться из openid ?
или вы права вкладываете в jwt прямо который генериться из openid ?
И
тип того. Мол скоуп редактировать юзеров у тебя может и есть но вот имеешь ты право редактировать именно этого юзера - это уже про ABAC.
Есть ещё вопрос. Правильно ли я понимаю Auth сервис хранит в себе абак, выдаёт токен с утверждениями, а конкретный сервис, на основе утверждений выдаёт доступ, например по средствам вортов?
SP
Есть ещё вопрос. Правильно ли я понимаю Auth сервис хранит в себе абак, выдаёт токен с утверждениями, а конкретный сервис, на основе утверждений выдаёт доступ, например по средствам вортов?
тут опасно что-то утверждать ибо "хранит у себя abac" -> хранит у себя все атрибуты -> сервис базы данных?)
SP
ну то есть тебе для принятия решений можно или нельзя частенько данные нужны... а эти данные - ими какая-то система владеет. А значит именно эта система должна разрешать или запрещать
SP
можно конечно тупой ACL билдить - мол тупые мэпы... но это иногда плохо скейлится
D
ну то есть тебе для принятия решений можно или нельзя частенько данные нужны... а эти данные - ими какая-то система владеет. А значит именно эта система должна разрешать или запрещать
централизованная система, и мы приходим к тому что я говорил выше
все равно придется иметь сервис авторизации
все равно придется иметь сервис авторизации
И
тут опасно что-то утверждать ибо "хранит у себя abac" -> хранит у себя все атрибуты -> сервис базы данных?)
Так, тогда мы возможно про разное. В абак я вкладываю "роль менеджер в филиале в Москве" эта штука хранится прям на сервисе аутентификации. Приходит он такой красивый в сервис ордеров, и сервис читая это говорит "ага ты менеджер, ну лови все заказы этого подразделения. А был бы простым юзером хуй пойми откуда, дал бы только твои личные заказы"
SP
централизованная система, и мы приходим к тому что я говорил выше
все равно придется иметь сервис авторизации
все равно придется иметь сервис авторизации
централизация чего-то это не оч хорошая идея в контексте распределенных систем. У тебя либо все данные надо "синкать" либо еще чего сложного либо вообще нафига тебе там oauth/openid
SP
Так, тогда мы возможно про разное. В абак я вкладываю "роль менеджер в филиале в Москве" эта штука хранится прям на сервисе аутентификации. Приходит он такой красивый в сервис ордеров, и сервис читая это говорит "ага ты менеджер, ну лови все заказы этого подразделения. А был бы простым юзером хуй пойми откуда, дал бы только твои личные заказы"
ты тогда про RBAC не? если тебя чисто роли интересуют. ABAC это все ж про атрибуты ресурсов
D
централизация чего-то это не оч хорошая идея в контексте распределенных систем. У тебя либо все данные надо "синкать" либо еще чего сложного либо вообще нафига тебе там oauth/openid
ну тут мы приходим к вопросу - обновления данных, кеширования их в микросервисах и тп для снятия нагрузки и бла бла бла
SP
RBAC можно "эмулировать" за счет скоупов легко и просто
SP
ну тут мы приходим к вопросу - обновления данных, кеширования их в микросервисах и тп для снятия нагрузки и бла бла бла
и прикодим к выводу что централизация плохая идея)