问题标签 [role-based-access-control]

我即将用 Laravel 开发一个管理网络应用程序。

我需要我的用户具有不同权限的不同角色。

详细说明：一些用户可以添加客户，一些用户可以写一篇与客户相关的文章，一些其他用户可以阅读该文章，而一些其他用户只能阅读该文章的一些片段。

所以我决定使用 RBAC 方法以获得一定的灵活性。我将使用这个 DB 模式（只是一个示例模式，但代表了我的应用程序的需求）：

数据库示例

我的回答是：既然用户和纸张、客户、附件等有直接关系，那么 RBAC 规则是如何表达的呢？当他请求操作或资源时，我必须在前端检查用户的权限吗？或者即使在后端也有办法表达这个规则？也许使用一些 GRANT 选项？

希望sby能帮上忙。谢谢！

使用 AWS Cognito 进行身份验证，我可以获得包括cognito:groups { admin, user}. 从 ASPNetCore Webapi，我可以使用 Policy 进行授权（遵循 AWS 教程https://www.youtube.com/watch?v=M6qTrI7kmZk）：

它在我的 Controller 中声明 Policy 时有效[Authorize(Policy = "admin")]。但是我的 api 使用了角色。

请问有什么办法[Authorize(Role = "admin")]吗？

我有一个基于角色的授权的詹金斯设置。
有了这个，我可以限制对特定用户的特定项目的访问。但我不能为组/角色做同样的事情。

请参考下图，其中“arushi”是属于“开发人员”角色的用户。
我希望向所有具有“开发者”角色的用户授予“示例”项目的访问权限，而不仅仅是用户“arushi”。无法对此做同样的事情。有什么建议么？

我正在尝试通过 REST Api 调用向 AD 用户授予对容器的 IAM 访问权限（存储 Blob 数据读取器）。

我的存储结构是这样的：-订阅>>资源组>>资源（即一个存储帐户）>>
许多容器>>每个容器下的一些blob

能够通过 REST 调用为用户（在我的 Active Directory 中）提供对 StorageAccount 级别的读取器访问权限：-

https://management.azure.com/subscriptions/SUBSCRIPTION-ID/resourceGroups/RESOURCE-GROUP-NAME/providers/Microsoft.Storage/storageAccounts/STORAGE-ACCOUNT-NAME/providers/Microsoft.Authorization/roleAssignments/ANY-UNIQUE-GUID?api-version=2015-07-01 HEADER: [{"key":"Content-Type","value":"application/json"}] [{"key":"Authorization","value":"Bearer Token"}] BODY: { "properties": { "roleDefinitionId": "/subscriptions/SUBSCRIPTION-ID/resourceGroups/RESOURCE-GROUP-NAME/providers/Microsoft.Storage/storageAccounts/STORAGE-ACCOUNT-NAME/providers/Microsoft.Authorization/roleDefinitions/READER-ACCESS-GUID", "principalId": "AD-USER-OBJECT-ID" } }

请帮助我在存储帐户下的任何特定容器（不是全部）级别为该用户分配一个角色，以便他/她可以读取/写入该容器内的任何 blob。

谢谢！

注意：我尝试过： -
https://management.azure.com/subscriptions/SUBSCRIPTION-ID/resourceGroups/RESOURCE-GROUP-NAME/providers/Microsoft.Storage/storageAccounts/STORAGE-ACCOUNT-NAME/path/CONTAINER-NAME/providers/Microsoft.Authorization/roleAssignments/ANY-UNIQUE-GUID?api-version=2018-07-01

在Postman中，它返回状态代码 201，并且在 azure 门户中显示角色分配的数量增加了 1，但用户看不到该容器内的任何 blob。

如果您需要更多信息，请帮助或让我知道。

有没有办法为 PowerBi 云桌面版本上的不同选项卡/页面提供基于角色的安全性。例如，如果我有一个 PowerBI 报告，其中包含 4 个部门使用的 27 个不同选项卡，我们是否可以根据与每个部门相关的选项卡限制对每个部门的访问。就像部门 4 只对标签/页面 2、3、6、8 感兴趣，而部门 2 只对标签/页面 2、7、8、11、21、23 感兴趣，所以只有报告中的标签对他们可见.

我在行级安全性方面面临的挑战——报告的整个框架/骨架以及不相关的计算对每个用户都是可见的。

我有一个身份验证服务器和一个客户端服务器。在身份验证服务器上登录工作正常，返回令牌。当我获取该令牌并将其附加到安全设备时，我收到上述错误。请帮忙！提前致谢！

在 Azure DevOps 中，我创建了一个服务连接（类型：Azure 资源管理器），以便能够将文件上传到 Azure Blob 存储。

然后，我在 Azure 存储帐户中添加了Storage Blob Data Contributor此服务主体的角色，方法是在.Access Control (IAM)Select

我注意到，每次我创建一个使用（相同）服务连接的新 DevOps 管道时，我都需要Storage Blob Data Contributor再次添加角色，因为在 下Select，会有多个具有相同（服务主体）名称的项目。目前尚不清楚为什么有多个项目，也不清楚哪一个是最新的，因此我只是添加所有项目作为解决方法。

在为使用相同服务连接的新管道分配角色时，我是否缺少任何东西以避免最终选择数十个项目？

我正在使用 NestJS 编写我的第一个 API，并且正在寻找一种管理资源访问的智能方法。我有以下简化结构：

• 组织：

  • 用户
  • 产品

• 用户：

  • 电子邮件
  • 组织

• 产品：

  • 组织
  • 更多数据

我使用 Passport JWT 和本地策略。但我想确保只有组织内部的用户才能为该组织更新和创建产品。

我查看了nest-access-control，但不知道它是否可以用于此目的。

与 OAuth 2.0 和 JWT 相关但仍然有点令人困惑的一件事是何时使用作用域与角色。

我认为一些困惑来自基于角色的授权在 ASP.NET Core（这是我工作场所的主要语言/框架）中的工作方式。例如; 如果我在我的 JWT 中有如下角色

我可以很容易地保护路线，而无需做太多事情，例如：

我可以使用具有 dotnet 授权策略的范围来实现与上述非常相似的东西，但我只想知道是否有一些关于是否/何时使用范围或角色的指导，或者这只是一个偏好问题......

我在任何与 OAuth/JWT 相关的 RFC 中都找不到对角色声明的太多引用，而在整个过程中都提到了范围。

我确实看到了 Tyler McGinnis https://tylermcginnis.com/react-router-protected-routes-authentication/ React Router v4 的受保护路由和身份验证

我使用 react-router-dom v 5.1.2

我在 index.js 中初始化 keycloak 并将其作为道具传递给 App.js 我可以得到 keycloak.idTokenParsed.preferred_username 它们是：SuperAdmin，Admin，Manager，User。我已经有公共路由和经过身份验证的路由，我想弄清楚的部分是如何向其中添加基于角色的路由？这样只有超级管理员可以访问 /create/ 并且管理员可以访问 /edit/。在 Routes.jsx 中，我有 publicRoutes 和 privateRoutes 的 const 我只是为 SuperAdmin、Admin、Manager、User 做 4 还是有更好的方法来做到这一点？

路线.jsx*

应用程序.js