带有 keycloak 的 ABAC - 在策略中使用资源属性

Question

我正在努力实现的目标

使用以下策略保护 Keycloak 中的资源：

if (resource.status == 'draft') $evaluation.grant(); 
else $evaluation.deny();

通过他们的官方documents 和mailing list responses，似乎基于属性的访问控制是可能的，但是，我找不到让它工作的方法。

我的尝试

• 使用Authorization Services：我无法弄清楚我可以在哪里以及如何从资源实例中注入属性。
• 使用Authorization Context：我希望获得与资源和范围相关联的策略，以便我自己评估它们。

到目前为止，这两种方法我都没有成功。老实说，我对授权服务中使用的术语感到不知所措。

问题 在 keycloak 中定义策略时如何使用资源实例的属性？

Answer 1

我在 Keycloak 4.3 中通过创建 JavaScript 策略解决了这个问题，因为属性策略不存在（还）。这是我工作的代码示例（请注意，属性值是一个列表，因此您必须与列表中的第一项进行比较）：

var permission = $evaluation.getPermission();
var resource = permission.getResource();
var attributes = resource.getAttributes();

if (attributes.status !== null && attributes.status[0] == "draft") {
    $evaluation.grant();
} else {
    $evaluation.deny();
}

Answer 2

目前没有办法做你想做的事。 ResourceRepresentation 类只有 (id, name, uri, type, iconUri, owner) 字段。因此，您可以使用 owner 来确定每个 Keycloak 示例的所有权。我见过一个讨论添加额外资源属性的线程，但还没有看到它的 Keycloak JIRA。

也许您可以通过在运行时设置所需内容并围绕它编写策略来以某种方式使用上下文属性。

var context = $evaluation.getContext();
var attributes = context.getAttributes();
var fooValue = attributes.getValue("fooAttribute");

if (fooValue.equals("something")) 
{
   $evaluation.grant();
}