問題タブ [rbac]

私は、さまざまな学校がコンテンツをオンラインで管理できるようにする製品に取り組んでいます。

これには、私が自分で書いた役割ベースのアクセス制御ロジックの設定が含まれます。基本的に、各学校には、独自の権限セットを持つ独自のロール セットがあります。ソフトウェアのユーザーは、いつでも異なる役割を持つ複数の学校に所属することができます。

さまざまな理由から、私はこれを捨てて、代わりに Django の Groups and Permissions をdjango-guardian のようなライブラリと一緒に使用したいと考えています。私が直面している問題は、新しい学校ごとに外部キーを含め、Django や django-guardian などのライブラリでヘルパー メソッドを使用できるように、グループ モデルを拡張する方法です。

私が思いついた可能性のあるアプローチの 1 つは、「School 1 - Admin」、「School 1 - Teacher」、「School 2 - Admin」、「School 2 - Teacher」などのイベント名に基づいてグループを作成し、それに基づいてアクセス許可をクエリすることです。代わりにこれ。このようにしてはいけない正当な理由はありますか？

私はACLを実装しようとしていますが、それを実行するための最良の（よりパフォーマンスの高い）方法について、あなたの意見をお願いします。

すべてのユーザーへのアクセスを拒否し、各ユーザーに応じてアクセス許可を付与する方がよいですか、それともデフォルトですべてのユーザーにアクセスを許可し、アクセス許可を削除する方がよいですか。

より具体的にしようとすると、SuperAdmin、ClientAdmin、BasicMemberの3人のユーザーがいると想像してください。

ClientAdmin管理者は、システムに登録されているすべてのユーザーを表示するなど、 SuperAdminとほぼ同じ権限を持っていますが、変更を加えることはできず、「読み取り」するだけです。

この時点で、ユーザーのすべてのアクセス許可を一覧表示する関数を作成し、各リソースで、currentUserRoleと認証をチェックして次のようにします。

だから..私はあなたの意見をチェックする方が良いかどうかを知りたいです：彼が許可を持っているなら、showAction！または、許可がない場合は、hideAction。（例：他のユーザーに対する読み取り権限を持っているClientAdminの場合、[編集]ボタンを非表示にする必要があります。または、常に非表示にして、権限がない場合は表示する方がよいでしょう。

私はyiiのさまざまなオンラインチュートリアルとドキュメントに従ってRBACを学習しようとしていますが、最終的には次のようなもので終わります。何かが足りませんが、何がわかりません。私は理論とチュートリアルを2回勉強しましたが、それでも実際の実装に苦労しているので、最終的にSOコミュニティに助けを求めることにしました。私が今までやったことは正確に下にあります

ログに記録してコントローラーにアクセスしようとすると、user1「何かが足りません」と表示されますが、ユーザーに同じ役割を割り当てています。私が行方不明になっている地獄。

これは私が行方不明の部分を正確に行ったことです。私はこれをほとんど行うことができないことを知りません。

貴重な時間をありがとうございました

私はググったり、チュートリアルやブログを読んだり、たくさん実験したりしました。そのため、コントローラー アクションへのロール ベースのアクセスを定義できます。すべて正常に動作します。聞きたいことは。ユーザー自身の投稿を表示、編集、および削除するルールを作成するにはどうすればよいですか?

デフォルトでは、すべての投稿が表示されます。ただし、データプロバイダーの基準を設定して、独自の投稿を表示できます。しかし、そのためにCRUDをどのように制御できますか?? 親切に私を助けてください。私のコードは以下です。

投稿表示の場合:

REST (HTTP) [JSON] 経由でサーバーと通信する JavaScript クライアントを使用してシステムを作成しています。

役割ベースのアクセス制御を使用して通話を管理しています。

例: [明示的な URL は変更されません]

• 匿名 -> リクエスト\
• サーバー -> ログインフォームへのルーティング:\login\
• ユーザー (現在は Cookie 付き!) -> リクエスト\
  • if (user->role == "manager") return "\manager-homepage\";
  • else return "\homepage\";

REST はステートレスなので、このユースケースをどのように管理すればよいでしょうか?

リクエストごとに Cookie を送信すると、返された HTTP ステータス コードによって JS にルーティング先が通知されますか?

[どちらかというと非効率的 + MITM 攻撃を受けやすい]

あなたは何を提案しますか？NIST RBAC PHP API 0.65をチェックアウトしましたが、階層をサポートしていないようです。

基本的に、サブユーザーを持つユーザーが必要であり、サブユーザーにはロールがあり、親がアクセスできるものにのみアクセスできます。これは、階層型RBACスキームに適しているようです。

ありがとう、

ジョン

役割ベースのアクセス制御システム (RBAC) では、組織内の役割が役割によって表されることを理解しています。各ロールには、アプリケーション内で何かを行うためのさまざまなタスク (アクセス許可) が含まれています。組織内の各ユーザーには、その職務に応じて 1 つ以上の役割が割り当てられます。

私が理解していないのは、グループが RBAC に存在するかどうかです。現在、ユーザーに 1 つ以上の役割を割り当てることができるシステムを設計しています。その後、ユーザーを 1 つ以上のグループ (たとえば、プログラマー、12 階の人、メタリカの T シャツを着ている人、チェス クラブのメンバーなど) に入れることができますが、グループには役割や役割が含まれていません。アクセス許可。

グループは RBAC にも存在しますか? その場合、グループには、グループのメンバーによって継承される権限と役割を含める必要がありますか?

ほとんどの人が提案するように、権限をインストールしました。役割ベースのアクセス制御を簡単に実装できます。しかし、私は問題で立ち往生しています..

ロールを変更できる管理者からユーザーにロールを割り当てる必要があります..

権利はテーブルのモデルを作成しないので、それらに挿入することはできません..そのため、ドキュメントはありません。その方法は...

PHP-Bouncerと呼ばれる PHP 用のオープン ソース ロール ベース アクセス コントロール ライブラリに取り組んでいます。PHP-Bouncer を使用すると、ユーザーはロールのリスト、各ロールがアクセスできるページを定義できます。各ロールは、他のページをオーバーライドするページのリストも定義できます (オーバーライドされたページに移動すると、オーバーライドしているページにリダイレクトされます)。 . これがどのように機能するかの例を次に示します (ドキュメントのAccess Managed Exampleから)。

ここに私が抱えている問題があります: 上記の manageAccess 関数では、役割が適切に定義されていて、すべてのユーザーが fail.php にアクセスできる (または fail.php が $bouncer オブジェクトを実装していない) 限り、すべてがうまく機能します。誰かが固有の競合 (ページをそれ自体でオーバーライドするなど) を持つロールを作成したり、すべてのユーザーに失敗ページへのアクセス権を付与することに失敗したりするとすぐに、manageAccess 関数は無限ループに陥ります。これはダメなので直してほしいです。ただし、無限ループを防ぎながら、いくつかのリダイレクトを許可するための最良のアプローチは何であるかはわかりません（最大2〜3回のリダイレクトが望ましい動作になる可能性があります）。これが manageAccess 関数です。

助言がありますか？

私は Yii フレームワークを学んでおり、サンプル アプリケーションも作成しています。

私のアプリケーションには、次の 3 つのユーザー ロールがあります。

• スーパー管理者
• 著者
• および登録ユーザー

Authors に Article に対する CRUD 操作をしてもらいたい。

すべてのコントローラーを yii の RController で拡張し、次のコードをフィルターに追加しました。

Yii のドキュメントによると、私が理解しているように、Yii は自動フィルター処理を行うべきですか? しかし、スーパー管理者アカウントでログインしても、「エラー 403 このアクションを実行する権限がありません」と表示されます。