gpt4 book ai didi

javascript - 基于 Keycloak ABAC 的策略执行器,无需在 token 中添加属性

转载 作者:行者123 更新时间:2023-11-30 20:46:39 24 4
gpt4 key购买 nike

我正在尝试为我的 API 设置基于 keycloak 的 ABAC、基于属性的访问控制。我能够将其设置为创建一个基于 javascript 的策略,该策略查找特定的用户属性然后授予访问权限,例如

var context = $evaluation.getContext();
var identity = context.getIdentity();
var attributes = identity.getAttributes();
var privileges = attributes.containsValue('userAttributeFlag','Y');
if (privileges) {
$evaluation.grant();
}else{
$evaluation.deny();
}

这只有在属性 userAttributeFlag 被添加为客户端的用户属性映射器时才有可能,以便在访问 token 中添加相同的属性

enter image description here

我的问题是,是否总是需要在访问 token 中添加属性才能使 ABAC javascript 策略起作用。将其添加到 token 中的问题是,如果我们有很多属性会不必要地增加我们想要避免的 token 的大小。

在映射器中,有将属性添加到 userInfo 的选项,但是否可以通过基于 javascript 的策略对其进行评估。

感谢您的帮助。

最佳答案

对我来说,听起来您正在使用 Keycloak 的 ABAC 来实现基于权限的 AC 或 RBAC。 True ABAC 假设一组(相对)小的用户属性一组资源属性,例如用户部门资源部门。在这种情况下,您有一个策略可以根据这些属性授予或拒绝访问权限。

例如,ALFA 策略如下所示:

namespace example{
policy example{
apply firstApplicable
rule allowSameDepartment{
permit
condition user.department == doc.department
}
}
}

在您的情况下,您的代码似乎正在执行检查。这迫使您创建更多的用户属性来实现粒度。这会导致代币膨胀。这是所有基于 token /基于身份的授权方案的共同问题。 SAML 也是如此。 JWT 也是如此。

关于javascript - 基于 Keycloak ABAC 的策略执行器,无需在 token 中添加属性,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/48628478/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com