问题标签 [role-based-access-control]

我有一个包含多个组件的 React-Redux-KoaJs 应用程序。我的用户角色也很少。现在我想仅向特定角色显示几个按钮、表格和 div，并对其他人隐藏。请记住，我不想隐藏整个组件，而只是隐藏组件的一部分。谁能帮我？提前致谢。

我的公司有一个订阅，该订阅是为团队的所有成员（所有员工）共享的。我们将此订阅用于测试、开发和生产工作负载。我们只有一个订阅，因为由于我们的 MS 合作伙伴关系，它是赞助订阅，所以我们不想创建其他订阅。

我想限制对特定资源组的访问，该资源组将托管将管理敏感数据的生产资源。因为团队的所有成员都是订阅级别的参与者，所以他们可以访问所有资源组，我无法将他们从资源组中删除。那么，如果我想撤销他们对资源组的访问权限并允许他们使用所有其他资源组，我该如何进行呢？

基本上，我过去几天一直在试图弄清楚如何将简单的管理员和成员角色添加到我正在为朋友开发的网站上。（我使用的是 ASP.NET Framework 5.2.7.0）。我知道微软内置了一个很好的基于角色的访问功能，允许您将类似的东西放在[Authorize Role=("Admin")控制器的顶部；但是我根本无法让它工作，而且我发现的大部分资源都是针对 ASP.NET Core 的。

我尝试修改我的 web.config 文件以启用基于角色的访问（并希望将角色等迁移到我的数据库）。但由于我无法弄清楚这一切，我尝试了一条更老套的路线。（**我不是高级程序员，我已经这样做了大约一年，绝不是专业人士）。这就是我在尝试验证用户是否是管理员时基本上想出的（这也不起作用）。

现在我几乎肯定这不是检查登录用户是否是管理员的一种非常安全的方法，但我希望它至少可以工作。我的想法是当有人试图访问 AdminPortal 时，IsAdmin 方法将运行并检查用户是否是数据库中的管理员。如果是，则返回 null 并显示 AdminPortal 视图，如果它们不是 Admin，则将它们重定向到主页上的 Index 视图。但是，AdminPortal 页面始终显示给任何用户，这似乎也不起作用。我什至已经进入了代码并观察了它在return RedirectToAction("Index", "Home");操作上运行，但随后它跳回到了 AdminPortal 方法并只返回了 AdminPortal 视图。所以我的问题是：

1) 如果有人碰巧在 ASP.NET 框架中使用基于角色的访问，我会喜欢一些关于如何设置它的提示

或者，

2）如果所有其他方法都失败并且我需要使用我的hacky方法，为什么即使用户不是管理员，它也会继续返回AdminView。

**注意：我知道我可以创建一个函数，如果用户是否是管理员，则返回 true 或 false，然后在 AdminPortal 控制器中有一个 if/else 语句，该语句将返回视图为 true，另一个为 false，但是我不想在每个 ActionMethod 上都实现它，最好将它保持在一行，或者[Authorize Role="Admin]如果可能的话只在控制器上方。

非常感谢你们提供的任何帮助，我几天来一直在尝试研究和解决这个问题，并决定联系社区并询问！

我在订阅级别应用了删除锁定，以便所有资源都将获得锁定，同时撤销了虚拟机的访问权限，天蓝色删除锁定阻止了 IAM 角色删除，有什么办法可以解决吗？

我想使用渲染道具实现基于角色的授权。我有三种用户类型，我想让每种用户类型访问导航栏的不同部分和应用程序中的不同页面。

我不确定如何实施它，有什么建议吗？我尝试使用 HOC，但这对我来说不起作用。

我是 Keycloak 框架的新手，在痛苦地编写了自己的解决方案之后，我们希望转换为 KeyCloak。这似乎是一个很有前途的解决方案，但不幸的是缺乏自我描述文档。我已经阅读了教程和术语，但是，我似乎无法通过 Keycloak 概念为我的授权用例塑造一个合适的模型。我发布了我的问题！在 Keycloak 邮件列表中没有任何回应，所以我决定在这里联系。

请考虑这个使用场景：

• 您为汽车经销商提供 SaaS 解决方案。
• 每个经销商在创建时都会继承一组默认角色，例如管理员、经理、销售、会计……）
• 经销商可以添加/删除默认角色的权限。
• 经销商可以定义自己的自定义角色。
• 经销商有多个供应商，每个供应商都有几个角色（管理员、会计师、供应商）
• 经销商有许多部门，每个部门可能对该部门有自己的角色。
• 基本上，您在不同的环境中扮演不同的角色。

在我的内置模型中，我有一个将角色连接到委托人（实体）的表，并且将 ACL（或权限）分配给角色。主体可以是“DealershipA”、“DealershipB”、“Vendor1”、“Department0”中的任何一个。

现在我的问题是：在 Keycloak 中实现此场景的最佳实践是什么。

• 您将如何向实体添加/分配角色？
• 您会将经销商、供应商或部门视为资源吗？

预先感谢您的所有帮助，

So I have an app that currently works fine on login, just takes you to the basic app. I created a new page called AdminDashboard.js, and added a new part to the json called "Admin" which is set to 1 for admin users and 0 for everyone else. I don't know where to add a redirection where, if the user logging in is an admin, they will go to the AdminDashboard.js instead of the App.js part.

The JSON looks like

And the current summarized code is similar to this for the used pages, not including AdminDashboard.js

index.js

App.js

AuthService.js

withAuth.js

Login.js

我即将决定是否对某些需要在我的应用程序中频繁访问但我担心性能的项目使用声明或会话。

这就是为什么我想知道应用程序是否总是会查询数据库以获取给定角色的声明或登录用户在应用程序中需要时，或者是否有 ASP.NET-Core 应用程序存储声明的方式一种不需要始终查询数据库以检索当前登录角色或用户的声明的方式。

为了性能，我处于两难境地，宁愿将项目存储在会话中。如果是这种情况，使用会话而不是声称存储只要用户登录到应用程序就需要的项目是否有缺点？

请指导

我在 JavaScript 编程或 Angular 应用程序开发方面的经验并不多，但我的总体理解是，当 JavaScript 到达客户端时，它是可以被篡改的。

我在 Angular 应用程序中遇到了一些基于角色的授权的示例实现，其中用户角色在成功登录时发送到客户端（即使他们使用的是 JWT，它应该是“自包含的”）。然后将用户角色值保存在客户端（本地存储或变量），并在canActivate路由保护中使用。

（我知道其中使用的值canActivate将仅决定是否激活路由并呈现有问题的组件，并且当组件代码尝试获取数据时，真正的角色验证发生在服务器端。）

我的问题是，这些客户端存储的值会被篡改，还是 Angular 有能力提供任何代码安全性？

提前致谢。

什么是 MongoDB 基于角色的访问控制？

我对 MongoDB 相当陌生。我正在浏览其基于角色的访问控制功能的mongoDB 文档。

我有点困惑。

这是否与在用户模式中添加角色数组相同（如下例所示）？

还是为无需使用 api 就可以直接访问和操作数据库的用户添加权限？