处理多级角色
我有一个与经过身份验证的用户一起使用的多个应用程序。
所有这些应用程序都可以为不同的客户端一起部署,但具有相同的用户数据库。
例如连锁酒店。
用户的角色信息可在每个请求的标头中找到。
例如,经理在他自己的酒店中拥有完全访问权限,但在另一家酒店中只有阅读权限。
例如:
{
["organization":"paris","roles":[ADMIN,ROOT]],
["organization":"london","roles":[READ]]
}
我如何处理组织的多个级别的角色?
我在symfony中阅读了一些有关选民和角色的文档,但没有阅读有关某种团体中的角色的文件。
2 个答案:
答案 0 :(得分:1)
投票是必经之路
// src/Security/PostVoter.php
namespace App\Security;
use Symfony\Component\Security\Core\Authentication\Token\TokenInterface;
use Symfony\Component\Security\Core\Authorization\Voter\Voter;
class OrganisationVoter extends Voter
{
// these strings are just invented: you can use anything
const READ= 'READ';
const EDIT = 'EDIT ';
protected function supports($attribute, $subject); bool //todo
protected function voteOnAttribute($attribute, $subject, TokenInterface $token)
{
// [...] check class like documentation
$organisation= $subject;
switch ($attribute) {
case self::READ:
return $this->canView($organisation, $user);
case self::EDIT:
return $this->canEdit($organisation, $user);
}
}
private function canView(Organisation $organisation, User $user)
{
//here your logic if your user has the same organisation
}
private function canEdit(Organisation $organisation, User $user)
{
//here your logic if your user has the same organisation than the one in parameter and the good level of right (admin, root)
}
}
然后在您的控制器(或树枝或任何位置)中
if ($this->security->isGranted(OrganisationVoter::EDIT, $organisation)) {
return true;
}
答案 1 :(得分:0)
您所描述的内容已经写满了“基于属性的访问控制”。 abac帮助您将授权与要保护的应用程序/ API外部化/分离。这意味着您可以独立于授权逻辑开发功能。
这里有一些标准-XACML和ALFA(授权的缩写语言)。
这是架构的样子:
- 策略执行点(PEP)拦截业务流并创建授权请求,并将其发送给PDP
- 策略决策点(PDP)根据配置的策略评估传入的请求。最终将决定返回给PEP
- PDP可以使用策略信息点(PIP)来检索丢失的元数据(用户部门,角色,位置;资源部门,所有者...)
上一个答案迫使您实施投票者。这非常脆弱,需要根据需求的变化定期进行编码和更新。在ALFA中,您不需要这样做。您只需要简单地用原始英语编写使用您感兴趣的属性的策略即可。例如:
- 具有角色==“ manager”的用户可以对==“ hotel”类型的对象执行==“ view”操作
- 如果 hotel.owner == user.name ,具有角色==“ manager”的用户可以对==“ hotel”类型的对象执行操作==“ edit”
相关问题
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?