權限系統的基本概念和架構

目錄

• 簡介
• 受權流程
• 權限系統的架構

簡介

權限系統是咱們在系統設計和應用中一種很是常見的系統。通常來講權限系統的功能分爲認證和受權兩種。認證就很是簡單的，驗證完用戶名密碼就算認證成功，而受權裏面的套路就不少了，本文將會詳細講解權限系統中的一些基本概念和設計上面要注意的問題，但願你們可以喜歡。

受權流程

在受權流程中主要有三個部分，分別是資源管理，權限和策略管理，策略的執行。

先看下資源管理：

首先咱們須要建立一個資源服務器，而後在資源服務器中建立各類資源，最後對各類資源設置一些scope,scope就是跟資源相關的的一些可執行的操做。

什麼是資源呢？資源能夠是一個web頁面，一個RESTful資源，一個文件等等。

舉個例子，假如咱們有一個圖書館資源服務器，圖書館有一個本《人月神話》的書，那麼這本書就被稱做資源。接下來咱們須要爲這個資源定義一些可操做性的scope，或者說策略。好比說只有本校的學生纔可以借閱這本書。

當咱們定義好資源以後，就須要對這些資源進行一些權限和策略的設置，這就須要進行權限和策略管理。

看下權限和策略管理的流程：

首先是建立策略，而後定義權限，最後將權限和策略進行關聯。

策略就是定義的一些去訪問某些資源或者權限的操做，策略是和具體的權限是分離的，策略只制定了在什麼狀況下能夠作（某些事情），或者在某些狀況下不能作（某些事情），這些事情就是後面建立的權限。

好比說，擁有user角色能夠作什麼事情，就是一種策略。

策略定義好了，咱們就能夠建立權限了，權限很好理解，好比：借《人月神話》的書的權限。

咱們把策略和權限組合起來就是：擁有user角色的，能夠借《人月神話》這本書。

通用的策略有不少種，好比說基於屬性的訪問策略，基於角色的訪問策略，基於用戶的訪問策略，基於上下文的訪問策略，基於時間的訪問策略，基於規則的訪問策略或者其餘的自定義策略等。

一般來講，基於角色的訪問策略role-based access control (RBAC)是最經常使用的。

咱們把用戶賦予相應的角色，而後在訪問資源的時候根據不一樣的角色策略來執行不一樣的permission操做。

雖然RBAC很是有用，用途也很是普遍，可是它仍是有下面的幾個缺點：

1. 資源和角色是強綁定的，若是咱們對角色進行一些添加，刪除和修改操做，將會影響到全部相關聯的資源。
2. 對於角色的修改則可能須要咱們對代碼進行修改。
3. 若是你的應用程序很是大的話，使用RBAC可能會出現一些錯誤。
4. RBAC的靈活性不夠強，不可以作到更加細粒度的權限控制。

最後，咱們看一下策略的執行。

策略的執行就是真正的在資源服務器上執行相應的受權工做。通常來講咱們在資源服務器中有一個 Policy Enforcement Point （PEP）來和受權服務器進行交互，根據受權服務器返回的受權信息來執行相應的資源操做。

權限系統的架構

先看一張權限系統的基本架構圖：

其中有下面幾個關鍵組件：

• PAP全稱是Policy Administration Point，它是一個權限管理的後臺頁面，咱們須要這樣的一個後臺界面來配置和管理權限和資源。

• PDP全稱是Policy Decision Point，它提供了一些決策策略，經過這些策略將受權請求發送到相應的位置，並根據請求的權限對策略進行相應的決策。

• PEP全稱是Policy Enforcement Point，在不一樣的資源服務器中執行相應的策略。

• PIP全稱是Policy Information Point，在判斷和決策策略的時候，能夠從中獲取相應的屬性信息。

上圖中，Storage就是數據的存儲和分類，這裏咱們主要存儲resouce,scope,permission和policy這4種對象。

resource表明的是要訪問的對象，能夠是一個或者多個對象的集合。好比說：web程序中的頁面等等。資源是受保護的對象，須要爲資源配置一些權限。

每一個資源都有一個惟一的標識符，能夠表明一個資源或一組資源。 例如，你能夠管理一個銀行賬戶資源，該資源表明並定義了全部銀行賬戶的一組受權策略。 可是，你也可使用另外一個名爲Alice's Banking Account的資源，該資源表明由單個客戶擁有的單個資源，該資源能夠具備本身的一組受權策略。

咱們看一個resource的例子：

上圖中，咱們將不一樣的URI定義爲resource。並給不一樣的resource起了惟一的名字。

Scope是對資源的一系列操做，好比你能夠對資源進行讀，寫或者編輯，刪除操做，這些均可以被稱之爲scope。固然，你也能夠指定resource中的某個屬性做爲scope。

而後就是Permission，權限將受保護的對象與是否授予訪問權限的策略相關聯。

好比咱們有下面一個權限：

X CAN DO Y ON RESOURCE Z

x表示的是一個或者多個用戶，角色或者groups，或者是他們的組合。

Y表示的是對資源的一種操做。

Z就是資源了，好比/index頁面。

咱們能夠建立基於resource的permission:

也能夠建立基於scope的permission：

Policy定義了要授予對象訪問權限必須知足的條件。Policy並無指明要保護的對象，只是指定了訪問給定對象必須知足的條件。

好比上面的Policy，指定了什麼樣的角色，針對什麼樣的client，制定出來的什麼樣的邏輯。

有了策略就須要一個Policy Provider，Policy Provider主要爲咱們提供特定策略類型的實現。

爲了作好策略評估的工做，咱們還須要一個策略評估引擎，經過這個engine來執行策略的評估工做。

除此以外，做爲一個認證服務器，咱們還須要對外提供認證服務，那麼最好的辦法就是提供OAuth2或者OpenID Connect的token服務。

另外咱們還須要一個Protection API，用於resource server和權限管理服務進行交互。

本文已收錄於 http://www.flydean.com/authorization-service/

最通俗的解讀，最深入的乾貨，最簡潔的教程，衆多你不知道的小技巧等你來發現！

歡迎關注個人公衆號:「程序那些事」,懂技術，更懂你！