问题标签 [authz]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
entitlements - 将数据推送到 Open Policy Agent 时如何处理容器重启
在我工作的公司,我们正在考虑是否将开放策略代理 (OPA) 用于细粒度 authZ。
为了将数据加载到 OPA,网站上的External Data下列出了多种方法。对于我们正在处理的场景,我想结合使用JWT 令牌和推送数据(取决于具体的用例)。作为旁注;还考虑最初将 OPA 托管为独立服务而不是 sidecar 容器(即使使用 K8s 和 Istio),因为这似乎更简单(从概念上),并且更容易从更广泛的 IT 中获得支持。根据事情的进展,我们可以稍后迁移到边车方法。
WRT 推送数据方法;
- 如果数据存储在内存中(当使用 Push Data 方法时);当 OPA 崩溃或重新部署时,我们将如何处理这种情况?
- 假设有多个 OPA 副本;我们如何确保数据传播到所有 OPA 容器?
filter - 来自 mod_jk 的查询在 apache2 中重定向的顺序是什么?
我想允许从本地主机查询到一个 url,并将其他所有内容转发到另一项服务。在我在没有本地主机要求的情况下执行此操作之前,它正在工作。但现在看来,虽然位置过滤器与使用跟踪日志的授权消息匹配,但authz_core:trace8它重定向到我不想要的服务:
因此,鉴于此配置,我理解我说如果查询转到/api/link1它应该将查询重定向到我的 Service1,而其他所有内容都/api*应该转到 Service2。
我从/api/link1Service2 中获取查询并在添加所需的位置(如注释的第 52 行所示)之前它正在工作的原因是什么?
python - windows 2012 r2 安全事件日志自定义插入
我试图在 windows server 2012 r2 中写入日志,我可以像这样编写应用程序日志,
它工作正常并将此日志写入 windowslog/application
在那之后我尝试这样的安全日志
给我这个错误
在那之后我搜索并找到一个写安全日志的函数 AuthzReportSecurityEvent 我猜我可以使用这个函数写我的日志,如果我可以这样做我还有另一个问题我如何在powershell或python中使用这个函数?我想我可以通过 pywin32 模块使用这个功能吗?或者我可以直接在powershell脚本中调用吗?你能分享一下我如何调用这个函数并使用这个函数在安全日志中写入日志的例子吗?
当我遵循@Strive Sun 的建议时,我可以编写登录安全性。
authorization - 检查权利/身份验证时在哪里解析资源所有者
在我工作的公司;我们正在计划一个自定义授权服务(使用 Open Policy Agent 作为策略引擎)来进行细粒度的 authZ 决策。
高级架构如下所示:
基本上,启用授权的微服务将身份(JWT 主题)、操作(GET/POST/PUT/PATCH/DELETE)和资源(/thing/12345)传递给授权服务以获得 authZ 决策。该决定只是一个布尔允许/拒绝响应。权利保留有关用户、组和角色的信息(它从 IDP 和其他系统异步接收),因此它能够从其本地数据源中查找此信息并将其传递给 OPA(使用重载输入模式)。权利/OPA 只是作为独立服务运行 - 我们不会将 OPA 作为边车或任何类似的东西运行......
我们试图解决的问题是,对于大多数路由,资源所有者不是资源路径的一部分,但我们仍然需要资源所有者能够做出 authZ 决定。
我可以想出 3 种方法让资源所有者获得权利。我正在寻求一些关于什么是最好的方法的建议。
- 在所有资源路径中包括资源所有者信息,例如
/user/{id}/thing/12345. TBH 不确定这种方法在我们的生态系统中的可行性,所以这可能是我最不喜欢的。 - 启用权利的服务需要查找资源所有者(针对给定资源)并将其传递给权利(连同身份、操作和资源)。
- 在创建资源时将资源标识符(映射到资源所有者)同步到授权,以便启用授权的服务随后只需传递身份、操作和资源即可获得 authZ 决策。
django - 如何点击外部 API 来检查用户是否被授权采取行动并在 Django 中使用 permission_required 装饰器
我们有一个外部系统,我们在其中根据用户 ID 定义角色和权限。我们想要自定义 permission_required 装饰器来访问该外部系统来检查权限。
可以在 Django 中做吗?
假设我有一个 API(isAuthorized),它接受用户尝试执行的用户 ID、令牌和操作,并根据用户是否有权访问该特定操作返回 True 或 False。
我正在使用 Django 3.1.7
spring-boot - 使用 Spring Boot 应用程序和 Keycloak 授权访问资源属性
我希望我在这里遗漏了一些简单的东西。我正在尝试访问我的授权服务器资源属性。当我运行调试时,它不会出现,因为这些属性是由 KeycloakSecurityContext.AuthorizationContext 发送的,据我所知。
我知道对于用户属性,还需要一个额外的映射器进程。我找不到任何似乎符合资源属性映射器的东西。
authentication - 我如何将 EAP 身份验证的证书发送到 authzforce?或者我如何为它配置 authzforce?
我需要使用 authzforce 的 EAP 证书进行身份验证。我没有找到证书的任何属性。我如何为它配置 authzforce 策略?
svn - 在 SubversionEdge 上配置 AuthzSVNReposRelativeAccessFile
我想在 SubversionEdge 上为每个 repo 配置访问规则。
我的意思是在 httpd.conf 中使用AuthzSVNReposRelativeAccessFile = authz 指令来为每个 repo 设置访问文件,而不是为所有 repos 使用一个文件。
但它不起作用,访问规则仍然使用一个文件。这里的任何人都有这样的配置经验,请帮助。谢谢。