问题标签 [role-based-access-control]

查询下表时，它返回零记录。

你能帮我一个吗

我正在使用 DRF 编写 API。我想为模型视图集中的每个视图赋予不同的权限。我有两组（客户和员工）。我在permissions.py中将它们过滤为 Isstaff 和 Iscustomer 。

我试图覆盖使用get_permissions方法。当我将一个组放入时self.permission_classes，它工作正常。

但是，当我尝试将多个组放入时self.permission_classes，它会失败。

我们公司有一个 Microsoft Azure 帐户（现收现付）。

我们有一个开发我们的网络应用程序的程序员。我们授予他对我们 Azure 帐户的完全访问权限。所以，他可以接触到一切。

我们打算聘请另一位开发人员对 Web 应用程序进行修改，因此他需要访问应用程序服务和 SQL 数据库。我们的目的是让他访问这些功能。

我们进行了研究，发现了 Application Insights 中的文档、资源、角色和访问控制。我们一步一步地跟着它，但是有一个问题。文档链接

我们通过添加我们的一名 IT 员工的 Microsoft 帐户（个人 Outlook.com 帐户）并为他分配贡献者角色来测试该过程，并向他发送了邀请。他没有看到邀请。我们为另一名员工做了同样的事情，但这是同样的问题。

我们可以得到一些帮助吗？

我正在尝试使用 keycloak 授权机制来保护 REST API。我的 API 在带有 express 的 NodeJS 中。
假设我有这个 API：

端点支持 GET/POST/PUT/DELETE。房子有名字和主人：

每个人都可以查看房屋。您还可以创建房屋，并自动成为所有者。只有所有者才能删除房屋。它类似于photoz 示例。

在仅承载模式下使用Keycloak Connect适用于 nodeJS express：

但这仅提供身份验证，而不提供授权。基本上它只是检查您是否提供了正确的令牌。 KeycloakProtect提供了一种基本的授权机制，仅基于角色名称。但是，我想使用客户端授权的全部功能（包括资源、范围和策略）......是否有任何 NodeJS 支持？如果没有，如何使用 Keycloak API？

我正在构建一个应用程序，例如，不同角色的多个用户可以访问同一页面

• 管理员可以更新所有字段
• Initiator可以在页面的所有控件中插入数据，除了评论框
• 审稿人只能在评论框中插入数据
• 指南只能读取屏幕上的数据，无法更新屏幕上的任何内容

到目前为止，我唯一想到的是我应该制作自定义 Html 帮助程序，在其中我将接受角色作为参数并检查角色并相应地向控件添加禁用或启用类。应用程序将有数百个页面，但某些页面可能对不同角色具有不同的访问权限。请提供一个解决方案，我可以在其中实现此特定页面和基于角色的访问控制，并且不会对性能造成太大影响。

任何帮助或建议将不胜感激。谢谢你。

我试图了解 RBAC 以确定它是否是解决我们问题的好方法。

假设上下文是一家银行。在几个参与者中，我们有客户经理和客户。

我想我已经了解客户经理的 RBAC。如果我们想象客户经理可以创建、修改、查看和删除帐户，那么：

• Account Manager是一个角色，
• create, modify, view,remove是操作，
• accounts是对象
• create account是与角色关联的权限之一 Account Manager

但我的问题是关于客户的……他们只能查阅他们的账户。

我的问题是：我们如何在 RBAC 中指定这个特定帐户？至少有可能还是我必须选择另一种管理访问控制的方式？他们中的哪一个？

Context
I have a GraphQL API and a NodeJS & Angular application with a MongoDB database that holds users. For each user, there is a public page with public information like id and username. When a user is logged in, there is a private profile page with extended information like an email.

Just for context, I'm using jsonwebtoken with accesscontrol to authenticate and authorize a user. The information is stored on the Context of every GraphQL resolve function, so whatever is needed to identify a logged in user is available.

I have a GraphQL query that retrieves a public user like so:

I am trying to think of the proper implementation to retrieve either a public or a private user. Since GraphQL is strong typed, I'm having some trouble coming up with a proper solution.

Question
How do I implement the distinction between a public and a private user?

Considerations

1. Separate query
So one of the options is to have a seperate query for both public and private fields:

public query

private query

2. Using GraphQL Interfaces
I came across this Medium article that explains how GraphQL Interfaces are used to return different Types based on a resolveType function. So I would go something like so:

I have not came across a proper solution and I'm unsure about either of the consideration I have so far.

Any help is much appreciated!

我在 Apache 中使用 mod_authz_dbd 进行访问控制时遇到问题：

我有一个 Apache 反向代理，它必须进行身份验证和授权才能让用户访问他们的项目。项目需要一个包含组的 http 标头，用于基于角色的访问控制。目前我想授权用户，如果他们有一个有效的项目组。我将以下 mysql 数据库与我的 apache 服务器一起使用：

项目 url 是相对 url，如“/foo”。

每个用户可以在多个项目中工作，并且每个用户可以有不同的组，组是每个项目并且可以采用三个值：

• 行政
• pm 项目经理
• 为开发人员开发

为了实现这一点，我在我的配置文件中写了：

但我有两个问题：

首先，在 SQL 查询中使用环境变量不起作用。那么，如何在 AuthzDBDQuery 中使用用户名和 url 作为参数进行查询？

其次，如何从 AuthzDBDQuery 中获取组以将其设置在 http 标头中？

我还尝试使用带有 dbd 的 RewriteMap，然后使用 python 脚本使用 prg，但同样的问题，我没有找到如何传递两个参数。

我是 Elastic 和 Kibana 的新手。使用版本6.2.4。我已经安装了启用了 X-pack 的 ELK 堆栈。现在我让 Kibana 在端口 5601 上使用身份验证和弹性在 9200 上使用身份验证。

这是我想通过 Kibana 实现的目标：

• 获取数据的可视化[我知道可以做到]
• 为不同的用户赋予不同的角色
• 基于角色，限制用户对数据的访问
• 示例用户将是管理员、用户和匿名用户

这可以使用 Kibana 完成吗？如果否，我期待什么错误？

如果是，那么这是正确的方法，请检查以下内容：

是否有捷径可寻？

阅读官方文档，我了解到我必须为我拥有的每个资源/集合创建一个具有特权的新角色。

问题是我有很多资源/集合，我不想在每个集合的权限上指定所有 readWrite 操作。

我很想为我的洞数据库创建一个继承 readWrite 角色的角色，然后撤销对特定集合的写访问权限。