Oauth2, - Bereiche und Benutzer-Rollen

Ich eine Frage Stelle konzeptionell hier wie ich versuche zu verstehen, die Beziehung zwischen den Bereichen und Benutzer-Rollen in eine OAuth2-basierten system.

Als ich die Umsetzung einer API, ich soll der Zugriff auf bestimmte Ressourcen durch die Verwendung von scopes auf die Ressourcen. Ich verstehe die Nutzung von access-Token auf Anfrage Ressourcen, und ich glaube, mein Verständnis richtig zu sein, dass Sie geben Sie Ihre Bereich(s) bei der Beantragung der Zugangs-token.

Was, ich bin nicht völlig sicher ist, wie die Einschränkung des scopes funktionieren würde, basierend auf spezifischen Rollen, die ein Benutzer authentifiziert ist. Nehmen wir an, Bob ist ein admin und Sue ist ein normaler Benutzer. Wir haben einige Ressourcen, die geschützt durch eine is_admin Umfang. Was hält Sue von der Beantragung (und empfangen) is_admin Umfang in Ihren access token?

Ich bin denken, dass was passieren sollte ist die folgende:

  • Bob authentifiziert.
  • Bob ' s Rollen sah sich nach seinen Authentifizierung abgeschlossen ist. Seine "admin" - Rolle hat die "is_admin" Zielfernrohr.
  • Bob bittet um ein Zugangs-token, mit der alle Bereiche erfasst, die aus seinen verschiedenen Rollen
  • Bob ist automatisch gegeben, diese Bereiche für seine access-token

Ist es bis zu meinem Aufruf der app zu erzwingen, nur senden Fragen für den Umfang Bobs muss? Oder gibt es etwas, das mir fehlt es mit Bezug auf die Bereiche?

Kann mir bitte jemand mich aufklären mit einigen einfachen Beispielen?

InformationsquelleAutor Jason | 2018-02-02
  1. 19

    In OAuth2, gibt es folgende Rollen:

    • Ressource Besitzer - in der Regel eine person
    • Auth-provider - die OAuth2-server
    • Resource-server eine API, erfordert ein access-token und bestätigt seine Bereiche
    • Client-Anwendung - Antrag, ein access-token mit einigen Bereichen.

    Verstehen, OAuth2, ist es notwendig, darüber nachzudenken, wie ein Protokoll für den Zugriff auf Rechte-delegation aus einer Quelle, die Eigentümer zu einer Client-Anwendung. Also die Haupt-use-case ist: die Client-Anwendung zugreifen möchte, die Ressourcen-server. Um das zu tun, muss die Clientanwendung einen access token ausgestellt von der Auth-provider und autorisiert durch den Resource owner (wird authentifiziert, indem Sie die Auth-provider).

    In Ihrer Beschreibung, die Client-Anwendung fehlt. Nehmen wir an, es ist eine frontend-Anwendung für Ihre API. Es muss ein access-token mit Bereichen admin-user-scope oder regular-user-scope. So ist es umleiten Benutzer (Ressource owner), um die Auth-provider anfordert, beide Bereiche.

    Den Auth-provider authentifiziert den Benutzer und fordert ihn/Sie für eine Zustimmung zur Gewährung von einigen der angeforderten Bereiche, die der Client-Anwendung. Die Auth-provider können entfernen Sie einige Bereiche - zum Beispiel die admin-user-scope für nicht-admins. Die Auth-provider kann dem Nutzer die Möglichkeit zu entfernen, einige Bereiche zu.

    Die Client-Anwendung erhält ein access-token (oder grant) mit Bereichen in einem redirect-URI. Wenn die gewährten Bereiche unterscheiden sich von den angefragten Bereiche, die Auth-provider sendet eine Liste der gewährten Spielräume (die scope URL-parameter) zusammen mit der access-token, so dass die Client-Anwendung weiß, welche Aktionen Sie ausführen können mit der access-token.

    Dann die client-Anwendung kann auf die Ressource zugreifen, server und Resource-server stellt sicher, dass die bereitgestellten access-token enthält die erforderlichen Bereiche. Die Resource-server verwendet die OAuth2 Introspektion Endpunkt zur Validierung der tokoen und eine Liste seiner Bereiche.

    • Ich glaube, ich verstehe. Der Benutzer hat Zugriff auf a,b,c,d aber er könnte sich nur Fragen, für den Zugang zu a,b,c, bei der Authentifizierung (z.B. über einen auth-code-Abfrage). Die Auth-provider reagieren würde, nur mit dem, was der Benutzer fordert, und nie seine gesamte set. Die Auth-provider können auch verringern, was es gibt, wenn es entdeckt der Benutzer keine Befugnis hat, für eine bat-für den Bereich (in meinem Fall, nicht in einer bestimmten Rolle). Einmal authentifiziert, erhält der Benutzer eine access code nur mit dem bat-für den (eventuell reduzierten) Bereiche angebracht. Ist das eine korrekte Zusammenfassung?
    • Lassen Sie uns sagen, die das gewährt, die Bereiche, die zurückgegeben werden aus der Auth-Anbieter zurück, um die Client-App in die token, die sind irgendwie manuell geändert (MITM oder auf andere Weise), und ein Rahmen Hinzugefügt wird, wie das "admin-user-scope". Was würde passieren, wenn die client-app versucht, dieses token verwenden, um eine Ressource aus dem Ressourcen-Server, die geschützt ist für admins nur?
    • Es sei denn, der MITM Betreiber kennt den privaten Schlüssel zum erzeugen der access-token, können Sie nicht mildern, mit dem access token ohne es immer ungültig—in anderen Worten, würde nicht nur der admin-user-Bereich nicht akzeptiert wird, wird das token selbst abgelehnt werden würde, hoffentlich resultierend in einem 401-Unerlaubter Ausnahme.
    InformationsquelleAutor Ján Halaša
Schreibe einen Kommentar