问题标签 [role-based-access-control]

我在 Windows 系统上运行 Kibana 7.7.1。我尝试使用 xpack 安全性来实现这一点。Kibana 许可证是基本（免费）版本。

我的 ES 配置：

• xpack.security.enabled：真
• discovery.type：单节点

我使用以下命令生成密码： bin/elasticsearch-setup-passwords auto

在 kibana 配置中添加了以下几行：

• elasticsearch.username：“kibana”
• elasticsearch.password：“***”

我使用凭据（从上面的命令收到）登录到 Kibana：

• 用户名：“弹性”
• 密码：”***”

在 Management->security->roles 中，我创建了具有读取权限的新角色。然后在 Management->security->users 中使用刚刚创建的角色创建了一个新用户。注销并尝试使用新用户登录，并显示此消息 {"statusCode":403, "error":"Forbidden", "message":"Forbidden"}

我是 Kibana 的新手。我遵循了一个教程，但它对我不起作用。有没有办法我们可以做到这一点？

我正在寻找一种解决方案，我可以使用 Spring Boot 安全性来管理用户访问，具体如下：

1. 每个用户都绑定到一个组列表。 组是动态的，这意味着可以随时向用户分配/删除新组。

2. 有动态创建的实体。例如，让我们将它们视为某个博客网站上的“文章”:) 与用户类似，这些“文章”对可以访问它的组列表感到厌烦。

总之：一个在运行时知道组和访问列表的系统。

我对spring security不太了解，所以我在网上寻找一些答案，但找不到任何东西。所有片段都基于静态 antMatchers 和角色，如下所示：

有什么方法可以创建您自己的自定义身份验证器或类似的东西，它基于（1） URL会找到“文章”，因此允许访问的组，以及（2）用户登录，因此分配的组=>将确定我是否可以继续处理请求或立即返回 401 ;)

在此先感谢您的帮助！

我有一个由 IIS 使用 PHP 托管的旧版 Web 应用程序。web.config使用根目录中的以下配置来限制对该应用程序的某些目录的访问。这使得 Windows 用户名可用作REMOTE_USER，以便应用程序可以将该用户名映射到单个数据库以检查授权。这有效，不得更改。

对其他一些目录的访问也受到限制，并且使用 Windows 提供的凭据也受到限制。因此，那些其他目录也已anonymousAuthentication禁用和windowsAuthentication启用。不同之处在于 1. 这些设置是在 IIS 的 GUI 中进行的，以及 2. 授权实际上是针对文件系统进行检查的。这意味着目录仅对某些特殊的用户组具有读取权限，这些组和用户由某些 Active Directory 维护，并且由于该应用程序使用 Windows 身份验证，因此一切正常。用户在他们的 Windows 上进行身份验证，打开 Internet Explorer，请求站点的受限部分，IIS 获取用户名、组成员资格等，检查对文件系统中受限目录的访问并授予或拒绝它。

所有这些都是使用 IIS 的 GUI 手动配置的，我想将其迁移到web.config. 上面已经记录了为某些目录启用 Windows 身份验证，我缺少的是如何允许/拒绝对用户和组的访问，这是文件系统部分。我已经找到了元素authorization，它看起来很像我想要的，但无论我尝试什么都行不通。

我的期望是以上内容足以拒绝所有用户的访问，但这不起作用，任何基于 ALLOW 的方法也不起作用。我希望users并且roles可以简单地映射到当前请求用户的用户名和组名。我不想要的是基于表单的授权或将目录转换为“应用程序”或任何需要在web.config.

那么，我正在尝试做的事情有可能吗？如果可以，怎么做？谢谢！

我一直在尝试实施基于组的授权。我已经继续使用以下内容实现了基于用户的授权： https ://medium.com/medialesson/role-based-authorization-in-azure-functions-with-azure-ad-and-app-roles-b1fed5714c91

使用此内容，有谁知道如何更改我的代码，以便它能够处理组，而不是角色？我继续更改 Azure 中的清单以包含安全组。任何帮助，将不胜感激。下面是代码：

我的授权方案有 plsql 函数调用，例如access_control.region_no_display(:role, :region_static_id)有一个名为 region_static_id 的参数，它是区域静态 ID。现在，我从每个区域调用此授权方案并希望将值设置为 region_static_id pageitem。

如何实现这一点.. 因为我不能根据不同的区域静态 id 发送不同的参数。

REST API 可用于按 MS 列出资源组的角色分配，结果很少有未指定 DisplayName 和 RoleDefinitionName 的属性。但是可以使用 PowerShell 获取所有预期的详细信息，如此链接中所述。

需要通过 api 调用获取相同的详细信息。当前是否有任何可能的方式或 REST API 可用于获取 Azure 中特定资源组的所有所有者的详细信息？

我已经使用 socket.io 和 nodejs 实现了一个聊天功能。但现在我想实现一个基于角色的聊天应用程序。例如，如果有人想与更高职位的人交流，首先需要发送请求。我已经实现了一个聊天请求系统（类似于好友请求）。但我不知道如何使它基于角色。在这种情况下，访问控制包会有所帮助吗？

我在用户模型中添加了一个角色属性。我想创建一个中间件来检查用户的角色以及它想要向谁发送消息。如果允许，它可以继续“聊天”，但如果不允许，我希望它重定向到请求端点。我想知道这个逻辑是否可行。如果没有，我还能做些什么更好。

编辑：这个带有中间件的解决方案似乎可以工作:)。如果您有更好的想法，请回答我的问题

我正在尝试创建一个public-ns应该可供所有用户和组访问的公共命名空间。我已将 RoleBinding 定义如下，它允许 2 个组和 2 个用户访问命名空间。

现在，我想允许所有组访问此命名空间。我试过给予'*'，any但没有奏效。

谁能建议我如何为每个人授予此特定命名空间的权限。如果这是不可能的，建议的任何替代方案都会很棒。

注意：在带有 Keycloak 的 K8s 上启用了 OIDC。

提前致谢。

我最近看到一个视频，他们在后面使用 node/express 进行反应，以进行基于角色的授权。这样，一旦用户通过身份验证，他的工作角色就会作为响应传递给反应前端，然后将其存储在状态中并用于相应地呈现页面。那么，这种方法有多安全？像普通用户这样的人是否有可能篡改来自服务器的响应并将其修改为“admin”之类的内容。还是有其他更安全的方法。请帮助我，因为我对这些主题还很陌生。

我正在尝试将.NetCore 3.1 代码从承载令牌实现转换为基于 Cookie 的实现还尝试使基于角色的授权与现有代码一起工作。您能帮我更改此代码吗？下面的代码展示了当前如何检索承载令牌，下一部分展示了如何在代码中实现基于角色的授权。

这是当前的承载令牌实现。

以下注释当前用于基于角色的授权 -

这就是使用 Microsoft 标识模型来声明令牌的方式。