我正在尝试在角度 8 中处理基于资源(或声明)的授权。我发现了一个CASL角度操作能力管理。
所以,我想在 Angular 8 中使用基于动作的授权来保护所有的 crud 动作。
它也应该是基于声明的授权。但是,我不知道哪个是最好的使用方法。
在 Angular 8 中进行基于动作的授权的最佳方法是什么?
谢谢
问问题
665 次
2 回答
1
CASL 似乎是 ACL,并且是在服务器端完成的。它定义了每个资源服务器端的权限。Angular 是一个客户端框架。
“什么是最好的方法”问题通常很快就会结束,因为它是主观的。
如果资源受 ACL、RBAC 或其他保护,则访问资源的方式没有区别。如果 http 请求返回错误,您可以处理响应并输出您想要的任何消息。基于“声明”的身份验证您可能正在考虑 openid-connect/oauth2 或您自己的 JWT 声明发送服务器端的身份验证。
自从您编写了自己的实现后,它就更容易理解了,对吧?但是写和做对需要更长的时间。
我只知道 2 个开源 openid 连接服务器,即keycloak和identityserver4
有 Angular 的库,但都非常不稳定。Manfred Steyer 为 Angular提供了一个通用的 oidc/oauth2 库,但它在代码流方面存在问题,只有密码流和隐式流真正起作用,然后找出静默刷新不起作用的原因变得越来越复杂。Chrome 正在做一个 cookie 安全 SameSite 更新很快TM,这将破坏许多网站。
有一个 keycloak js 适配器和一个 ngx-keycloak 存储库,但它们也有问题,尤其是在到期前再次刷新令牌。
有一些商业提供商的库我没有测试过,比如 auth0 和 okta。
与 ACL 和/或 RBAC 分开开发您自己的身份验证内容在服务器端和客户端都需要时间,但您可以控制一切。您可以模仿一些 oauth2/oidc 功能,例如令牌信息端点,因为您发送的是 JsonWebTokens (JWT)。
分布式越多,你的应用程序就越单一,它也就越复杂。
哪个最好?它总是取决于。
于 2020-01-24T18:08:42.073 回答
0
CASL 是同构的,因此可以在后端和前端使用。Angular @casl/angular有一个单独的包,它有助于更轻松地集成 CASL。
目前,CASL 的整体理念围绕着行动(或主张)和主题展开。我现在正在研究 CASL v4,它将有更好的 TypeScript 支持,并将支持基于声明的授权。
您现在甚至可以使用 CASL,请查看此评论以获取有关如何配置Ability以使用声明基础授权的信息
更新:顺便说一下CASL 和 Angular 之间的集成示例。相关文章在 README 中
于 2020-02-03T20:30:25.057 回答