我正在使用 MongoDB 开发一个项目,我有一个场景,这样我就可以根据用户的角色限制数据对用户的可见性,例如,如果我有一个表单的文档:
{
"testme1":"fooo",
"testme2":"foobar"
}
角色为“admin”的用户可以看到“testme1”和“testme2”,而“guest”只能看到“testme2”。动态定义这些授权规则的最佳方法是什么,以便我的包装器 api 应该仅根据规则获取数据。我的做法是为用户提供一个网络“UI”来定义规则,并根据他的声明在我的服务器中保留一个“XML”文件。请让我知道是否有人有更好的想法,以及他们是否有一些数据库级别的方法来做到这一点
【问题讨论】:
标签: mongodb security authorization opensso data-security
存在一个授权标准,您可以使用它来定义您的授权策略。该标准称为 XACML,即可扩展访问控制标记语言。它实现了一种称为基于属性的访问控制 (ABAC) 的授权模型。您可以在此处阅读这两个主题:
XACML 定义了一个具有以下概念的架构:
在典型流程中,PEP 保护您的数据/服务/API。 PEP 将向 PDP 发送授权请求:
PDP 将转向 PIP 以检索缺失的属性,例如用户的角色和权限以及资源属性,例如数据的敏感性,白名单还是黑名单... 根据新信息,PDP 可以做出决定:Permit 或 Deny。允许或阻止访问。
使用 XACML,授权策略的丰富性没有限制。我在一家实施 XACML 的公司 Axiomatics 工作,我们的解决方案用于制造、医疗保健、银行,以动态方式保护敏感数据的访问(例如,经理可以编辑他们拥有的文档)。
XACML 支持集中管理的外部授权。它还支持我喜欢称之为任何深度的授权,这意味着您可以将 XACML 应用于 Web API、业务逻辑、表示 UI 以及数据库。
HTH
【讨论】: