跨后端和前端共享访问控制的最佳实践?
[英]Best practices to share the access controls across back-end and front-end?
问题描述
项目构成
我正在开发一个由 2 个请求后端 REST-API 的前端应用程序组成的项目。
我们的应用程序的组织目前非常简单,但很快就会发展。
前端:
- Web 应用程序(反应)
- 移动应用(React Native)
后端:
- API REST(在 Ruby RoR 中)。
访问策略问题
语境:
- 对于给定的用户,前端应用程序需要知道应该根据访问策略显示 UI 的哪些部分。
- 看来我们在 RBAC + ABAC 之间有一个混合 model
目前我们还没有一个清晰的架构来管理访问策略,业务逻辑分布在两个应用程序中,这会导致几个问题:
- 在后端 + 前端重复访问策略代码(因此我们最终可能会在相同策略的代码库的 3 个不同部分中重复相同的代码)。
- 前端复杂条件:在某些情况下,我们需要获取多个实体来决定用户是否可以访问某个功能。
解决方案/想法
我最初的想法是将访问策略逻辑集中在 API 上。 这样我们可以防止重复,所有规则都在代码库的一部分中,如果我们稍后决定添加前端应用程序甚至 API 微服务,它也会更好地扩展。
缺少的一点是:如何在后端和前端共享访问策略?
- 从 API 端点公开此类配置是一个很好的约定吗?
例子:
route: GET /user/access_policies
response :
{
author: {
read: true,
create: true,
update: false,
delete: false
},
books: {
read: true,
create: true,
update: true,
delete: false,
}
}
我还可以在简单的 CRUD 动词之外公开特定的业务策略:
{
books: {
read: true,
create: false,
update: false,
delete: false,
deleteOwnBooks: true, // custom business policy (only delete the books owned by the current user)
deletePublishedBook: true, // same
}
}
您是否有其他关于共享此类访问策略的建议或最佳实践?
1 个解决方案
解决方案1
0 2022-09-20 21:22:13
如果一般的授权,特别是 ABAC 在您的架构中扮演如此重要的角色,那么我建议您研究类似OPA的东西。 如果您可以切换到 RBAC,最简单的方法是在身份提供程序中配置角色,并将它们作为您传递的 JWT 中的声明。
前端连接到后端
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.