我正在Node中实现一个简单的访问控制系统,我想知道什么是我正在做的最好的方法。
我正在使用Node ACL,但我不清楚如何根据每个资源进行屏蔽。
让我们以以下示例为例:
USER ->* PROJECT ->* ENTRY。用户可以有多个项目,其中包含许多条目。用户可以是ADMIN或USER。
我创建了一个端点/entry/{ID},用户可以在其中访问条目详细信息。每个人都可以访问该端点,ADMIN可以看到所有条目,但是对于User,我需要做类似的事情:
app.get('/entry/{id}', (req, res) => {
if (user.admin) {
// Return eveything
}
else {
if (entry.project == user.project) {
// return it
}
else {
// Unathorized
}
}
})
是否有更好的方法/模式来实现对资源所有权的检查?
答案 0 :(得分:0)
这是一个非常广泛的问题,所以我会尝试给您一些提示,但
javascript中是否有ACL模式?
有许多解决方案,但我不会将其中任何一种称为模式。我现在将非常主观,但是至少可以说passport.js和类似模块的方式是不透明的-而且它实际上不是ACL ...
有人可能会说-嘿,这是node.js,必须有模块才能做到这一点,并使您的node_modules变重,但是在 npm 中搜索了一个好的acl模块,我只发现了一些过时的模块,与快递紧密捆绑。由于您的问题不是which is the best npm module for acl,因此我放弃了在第3页上查找此类问题,这并不意味着还没有准备就绪,因此您可能需要仔细研究。
我认为您的实施可以接受,但有一些我刚才提到的小修改或提示:
将您的请求逻辑与访问控制逻辑分开
在您的代码中,所有事情都发生在一个回调中-这绝对是非常有效的,但从长远来看也很难支持。您会看到,如果所有回调中都包含以上代码,它将最终以相同的代码结束。分离逻辑非常简单-只需在两个回调中实现相同的路径(它们将按照定义的顺序运行),所以:
app.all('/entry/{id}', (req, res, next) => {
const {user, entry} = extractFromRequest(req);
if (user.admin || entry.project === user.project) {
next();
} else {
res.status(403).send("Forbidden");
}
});
app.get('/entry/{id}', (req, res) => {
// simply respond here
})
这样,第一个回调将检查用户是否有权访问,并且这不会影响响应的逻辑。 next()的用法特定于类似表达的框架,我假设您使用它们查看代码-调用它时,将执行下一个处理程序,否则将不运行其他处理程序。
请参见Express.js app.all documentation for an acl example。
使用范围广泛的服务
将基本ACL放在一个地方,除非有必要,否则不要按路径定义它,这要安全得多。这样,您就不会省略一条路径,也不会在请求中间留下安全漏洞。为此,我们需要将ACL分成几部分:
否则我们不允许任何事情。
app.all('*',(req,res,next)=> { 如果(path.isPublic)next(); //可以注销公共路径 否则(user.valid && user.expires> Date.now())next(); //会话和用户必须有效 否则(user.admin)next(); //管理员可以去任何地方 否则(path.isOpen && user.valid)next(); //登录用户的路径也可能通过 否则抛出新的Error(“ Forbidden”); });
此检查不是很严格,但是我们不需要重复自己。还要注意底部的throw Error-我们将在错误处理程序中进行处理:
app.use(function (err, req, res, next) {
if (err.message === "Forbidden") res.status(403).send("Forbidden");
else res.status(500).send("Something broke");
})
任何具有4个参数的处理程序都会被Express.js视为错误处理程序。
在特定路径级别上,如果需要ACL,只需向处理程序抛出错误:
app.all('/entry/{id}', (req, res, next) => {
if (!user.admin && user.project !== entry.project) throw new Error("Forbidden");
// then respond...
});
这让我想起了另一个提示...
不使用user.admin
好的,好的,如果您愿意,可以使用它。我不。破解代码的第一个尝试是尝试对具有属性的任何对象设置admin。这是常见安全检查中的通用名称,因此就像将您的WiFI AP登录名保留为出厂默认值一样。
我建议使用角色和权限。一个角色包含一组权限,一个用户具有一些角色(或者一个角色比较简单,但给您的选择较少)。角色也可以分配给项目。
这很容易是整篇文章,所以这里是further reading on Role-based ACL。
使用标准HTTP响应
上面提到的一些方法,但是简单地使用标准4xx HTTP代码状态之一作为响应是一种好习惯-这对客户端来说是有意义的。本质上,当用户未登录(或会话已过期)时,回复401,在没有足够的权限时回复403,在超出使用限制时回复429。 more codes and what to do when the request is a teapot in Wikipedia。
对于实现本身,我喜欢创建一个简单的AuthError类,并使用它来引发应用程序中的错误。
class AuthError extends Error {
constructor(status, message = "Access denied") {
super(message);
this.status = status;
}
}
处理并在代码中抛出这样的错误真的很容易,就像这样:
app.all('*', (req, res, next) => {
// check if all good, but be more talkative otherwise
if (!path.isOpen && !user.valid) throw new AuthError(401, "Unauthenticated");
throw new AuthError(403);
});
function checkRoles(user, entry) {
// do some checks or...
throw new AuthError(403, "Insufficient Priviledges");
}
app.get('/entry/{id}', (req, res) => {
checkRoles(user, entry); // throws AuthError
// or respond...
})
然后在错误处理程序中,发送从代码中捕获的状态/消息:
app.use(function (err, req, res, next) {
if (err instanceof AuthError) res.send(err.status).send(err.message);
else res.status(500).send('Something broke!')
})
不要立即回复
最后-这更多的是同时具有安全性和安全性。每次您回答一条错误消息时,为什么不睡几秒钟呢?就内存而言,这将伤害您,但仅会造成一点伤害,并且可能会严重打击潜在的攻击者,因为他们等待结果的时间更长。而且,仅需在一个地方实施,就非常简单:
app.use(function (err, req, res, next) {
// some errors from the app can be handled here - you can respond immediately if
// you think it's better.
if (err instanceof AppError) return res.send(err.status).send(err.message);
setTimeout(() => {
if (err instanceof AuthError) res.send(err.status).send(err.message);
else res.status(500).send('Something broke!')
}, 3000);
})
Ph ...我认为这份清单并不详尽,但我认为这是明智的开端。