問題タブ [rbac]

jFramework 用に NIST レベル 2 RBAC を実装しました。コア SQL は以下のとおりです。

これは、特定のユーザーが特定の権限を持っているかどうかを確認し、機能することを目的としています。アプリケーションで非常に頻繁に使用され、大きく依存しているため、最適化できるかどうかを知りたいです。

モデルは次のとおりです。

役割と権限のテーブルは両方とも階層的であることに注意してください。したがって、誰かが役割を持っている場合、その人はすべての子孫の役割も持っています。

誰かが権限を持っている場合、その人はすべての子孫権限も持っています。

誰でも私を助けることができますか？私はこれが巨大なものであることを知っています、そして私はそれに大きな賞金をかけるつもりです.

App Engine にデプロイされた GWT ベースのプロジェクトでRBAC (またはその他のアクセス制御) を使用した人はいますか?
または、実際に役割ベースで GWT-RPC 呼び出しを管理する方法は?

それとも、ユーザーのログイン資格情報に基づいてクライアント ブラウザに「コードを送信」するだけの方が簡単ですか?

アイデア、ライブラリ、すべて大歓迎です!

ありがとうございました

このペーパーから読んだことから 、ロールベースのアクセス制御システムは、ロールがオブジェクトに対する操作を実行するためのアクセス許可を指定するロールにユーザーを割り当てることができるシステムであることがわかりますが、asp.netでは「オブジェクトに対する操作」を指定していません。ここで意味するのは、「ロールRのすべてのユーザーがオブジェクトOに対して削除を実行できる」をどのように指定できるかということです。ASP.Netのオブジェクトパーツはどこにありますか

Yii には、特定のタスクに対する単純な承認を処理する accessControl フィルターと accessRules メソッドがあります。私のアプリケーションでは、ユーザーにロールを許可する RBAC があります。

私の質問は、RBAC に加えて accessControl フィルターと accessRules メソッドを使用する必要があるか、またはそれらを削除して RBAC のみを使用できるかということです。

私は最近、従来のASP.Net Webフォームベースの開発からMVC2に移行し、MVCが長期的に保守可能なWebソリューションを作成するために活用できるベストプラクティスと規範を探していました。

認証とRBAC（役割ベースのアクセス）の実装に到達しました。以前は複雑さを避けるために単純な静的RBACを使用していましたが、MVCを使用すると、従来のアプローチに対するより優れたオプションとより多くの制御が期待できます。メンバーシップAPIはASP.Netセキュリティのデフォルトですが、多くのDBオブジェクトが必要であり、ユーザーにプロパティを追加したり、デフォルト機能の一部をオーバーライドしたりするなど、動作を簡単に変更する方法もありませんでした。

要約すると、以前は、Membership APIを避け、独自のシンプルなUserserviceレイヤーアプローチを使用して、シンプルなセキュリティとRBACを実現する必要がありました。私はページレベルのアクセス制御を持っていて、すべてのWebフォームページが派生した基本クラス（Pagebase）内からそれを処理しました。ページのセキュリティを構成するには、いくつかのロールパラメータを渡す必要がありました。ユーザーとロールのメンテナンスは非常に簡単で、セキュリティの質問、ハッシュパスワード、ソルトなどは必要ありません。少なくとも今までは必要ありません。

さて、MVCでは-中央制御と同様のものが必要です。コントローラレベルおよび/またはアクションレベルの認証（[認証]またはカスタム）のいずれかを使用できます。「承認フィルター」（アクションフィルターなど）をデプロイできます。ダイナミックRBACにも行きたいです。メンバーシップ機能を使用したいのですが、そのテーブルは必要なく、上記の他の余分なことは避けたいです。

静的メンバーシップAPIベースのアプローチ：役割ベースのセキュリティasp.net mvc

メンバーシッププロバイダーとロールプロバイダーをオーバーライドして、バックグラウンド処理を完全に制御し、その上にあるメンバーシップAPIとRBACの機能を活用できることを学びました。

例えば、

カスタムメンバーシッププロバイダー

• http://www.codeproject.com/KB/aspnet/CustomMembershipProviders.aspx
• http://mattwrock.com/post/2009/10/14/Implementing-custom-Membership-Provider-and-Role-Provider-for-Authinticating-ASPNET-MVC-Applications.aspx

ロールプロバイダーの実装

• http://msdn.microsoft.com/en-us/library/8fw7xh74.aspx
• http://msdn.microsoft.com/en-us/library/tksy7hd7.aspx

私はここまで来ました。正しい道を進んでいること、そしてこのアプローチによって、管理者レベルのユーザーにRBACを構成するために公開できる動的RBACに徐々につながることを確認したいと思います。これが私の要件です-

1. Membership APIを使用する価値がMVCで価値があり、デフォルトの実装をオーバーライドできるようになることを願っています。
2. 余分なテーブルは必要ありません。不要な特別なフィールドがないように、最小限のユーザー/ロールテーブルに保持したいと思います。
3. 独自のサービスレイヤーアプローチを使用して、DB内のテーブルにアクセスして管理できます。メンバーシップのデフォルトはありません。
4. 複雑すぎる場合は、今のところ静的RBACで実行できますが、将来的には動的RBACが必要です。
5. Membership APIを使用する傾向があるのは、それがなければ自分でデプロイしなければならない有用な属性を提供できることがわかったからです。
6. 乱雑にならないことを願って、私のDAL /サービスレイヤーに従い、コントローラーレベルとアクションレベルのRBACを許可します。

plsは私を導き、あなたの提案を共有します。

編集1： 私はSOからさらにいくつかを見つけました:(私たち自身を展開すると言います）

• どの認証および承認スキームを使用していますか？そしてその理由は何ですか？
• ASP.NET MVC-ロールプロバイダーの代替？

既存の JSF 1.2 アプリケーションにロール ベースのアクセス制御を実装するための提案が必要です。

ここに私が持っているいくつかの制約があります:

1. JSF 1.2 に行き詰まり、上位バージョンにアップグレードできない
2. カスタム ソリューションはありませんが、既存の API またはフレームワーク (Spring Security? その他?) に統合するための何かを書くことは問題ありません。

私は、BlazeDSとともに、UI側でFlex 3を使用し、サービスレイヤーでjava@を使用してコーディングされたアプリケーションを持っています。次に、データベースで定義されている役割に基づいて、システムにアクセスするユーザーを承認する必要があります。たとえば、役割ゲストを持つユーザーは、UIの[管理]タブにアクセスできないようにする必要があります。ダッシュボードに表示されるデータの表示以外の操作。また、ここで注意すべき点は、UIからスーパーユーザーが役割を動的に作成できることです。

ロールベースの認証と承認を実行する方法を説明するこのリンクに出くわしました

このアプローチでは、service-config.xmlでロールを定義する必要がありますが、ロールが事前定義されていないため、これを使用することはできません。

誰かが同じような状況に遭遇したことがありますか。どんなポインタも大いに役立ちます。

私の研究から、これは可能ではないと思いますが、確認したいと思います。accessRulesを介してRBACbizRuleにパラメーターを渡すことは可能ですか。今のところ、誰かが投稿を編集/削除できるようにする前に、誰かが投稿の所有者であるかどうかを（他のチェックとともに）チェックする必要があります。したがって、bizRuleのowner_idを比較して確認する必要がありますが、accessRulesをYii::app()->user->id == param['owner_id']使用してそのパラメータを渡すことはできないと思いますか？または私はできますか？

私の職場では、Webアプリの役割ベースの認証を検討しています。コールドフュージョンを使用していますが、これは適切なrbacライブラリが作成されていないように見えるため、最初から作成する必要がある場合があります。

サンプルデータモデルを見ると、オブジェクトは権限に関連付けられています。

http://www.mind-it.info/2010/01/09/nist-rbac-data-model/

オブジェクトと権限の間の1対多の関係のように見えます。これは理にかなっています。

しかし、私はこれらの「オブジェクト」が抽象的であるか具体的であるか疑問に思っていますか？

私たちのシステムには、いくつかの限定されたタイプのオブジェクトがあります。例として、「ニュース」、「イベント」、「アルバム」としましょう。これらのタイプのいずれかのすべてのオブジェクトインスタンスは、異なるロールに対して同じアクセス許可とアクセス可能性を必要とするため、アクセス許可とロールはこれらのタイプに起因する可能性が最も高くなります。

私が見た例では、オブジェクトの各インスタンスがパーミッションにアタッチされているように見えました。この場合、このタイプのシステムでは多くのオーバーヘッドが発生します...

それで、これらの「オブジェクト」が実際にロールに関連付けられている抽象オブジェクトタイプであるかどうか、またはこれらの「オブジェクト」が実際のオブジェクトインスタンス自体であるかどうか疑問に思いました。（または、rbacモデルでいずれかの実装が可能な場合...）

ありがとう！

私は現在 PHP+MySQL を使用していますが、実際にはあらゆるツールを採用できます。

私は、組織に配置された部門に配置されたグループに配置された約 50000 人のユーザーを持つシステムを持っています。

システム コンテンツ パッケージに含まれています。各パッケージには特定の権限があります。つまり、各パッケージは次のいずれかです

1. パブリック（ワールド）、
2. コンソーシアム (すべて私のシステムに登録済み)
3. 非公開 (単一ユーザー + グループ + 部門 + 組織の任意の組み合わせでアクセス可能)

さらに難しいことに、各コンテンツには前提条件のコンテンツがある場合があります。つまり、コンテンツ A (大学のコースなど) を受講する前にコンテンツ B を受講することはできません。

どのように管理すればよいのか疑問に思っています。現在、すべてが MySQL にあり、正常に動作していますが、前提条件でコンテンツを作成するたびに、より許可されたアクセス権を持つコンテンツのみを前提条件として選択できるようにする必要があります。これは、システム内にある各ピースに対して多くの計算が必要であることを意味します (数千あります)。

ここで、A に依存する B に依存するコンテンツ c があると想像してください...
各ユーザーに表示するカタログは何ですか? ユーザーがシステム全体を検索するときに、コンテンツごとに実行する必要がある計算をイメージします。

すでにそれを行っている方向/提案/既知のシステムはありますか?