gpt4 book ai didi

授权:根据用户授权过滤数据

转载 作者:行者123 更新时间:2023-12-04 07:28:48 32 4
gpt4 key购买 nike

我们需要实现如下授权规则。

如果用户是 super 管理员,则向他提供所有客户信息。比如订单信息。如果用户是客户管理员,只提供他自己的客户信息。等等

我们计划在 DAO 层实现过滤。

创建通用设计来处理这种情况有什么建议?假设我们的应用程序已经有一个用于 RBAC(基于角色的授权控制)的数据库模型。我们对任何 DAO 技术开放,例如 JPA 或 iBATIS 或 native 查询等。

高级验收标准是授权策略应该是可配置的,并且可以在运行时更改。示例:如果客户管理员可以看到自己的数据,将来可以更改规则以允许他们看到自己和 friend 的数据。

我们评估了像 XACML 这样的授权策略,因为它的复杂性而不喜欢实现它。我们计划编写一个本土解决方案。欢迎提出任何建议。

最佳答案

您在回答中写道您查看了 XACML 但没有实现它。您应该做的是将现成的 XACML 从供应商或开源替代品中获取。您会在 WSO2(开源)或 Axiomatics(供应商)等任一类别中找到很多内容。

XACML是基于属性的细粒度访问控制的分解标准(参见 NIST 的 page 关于该主题)。它已有 10 年历史,背后有 IBM、微软、甲骨文、Axiomatics 和美国银行等公司的支持。恕我直言,我非常怀疑本土解决方案是否可行。

您正在寻找 DAO 层的过滤。看起来你可以使用 Data Access Filter .它是基于 XACML 的,您不需要实现任何特定的东西(阅读:开发人员的工作量非常低)。

我不能强制您采用某种方式,但我会认真考虑采用基于标准的方式。任何其他方式在短期内听起来都是个好主意,但从中长期来看会产生严重反作用。

关于授权:根据用户授权过滤数据,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/23529535/

32 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com