问题描述
我正在尝试实施 WSO2IS 以进行授权。我的理解是,在 WSO2 领域中,权限的概念广泛地限制了用户对操作或资源的访问。因此,例如,如果我的应用程序是一家书店,我可以配置用户是否对整个作者具有“读取”访问权限,并切换他们对 GetAuthors() 端点的访问权限。但是,我需要配置用户对某些作者的访问权限。有没有办法可以按用户存储作者白名单?我想要完成的是让用户调用 GetBooks() 端点并仅返回用户可以访问的作者撰写的书籍。
听起来一种可能性是将此信息存储在外部数据存储中,并实现自定义 PIP 以从该数据存储中读取数据。
另一种可能的选择是在 User 类型上创建自定义属性,并将作者 ID 的白名单存储在每个用户的数组中。
有没有更好的方法来做到这一点?我不想仅仅为了存储用户和实体 ID 之间的关系而实现自定义外部数据存储。是否可以使用 XACML 和策略来做到这一点?是否可以让 WSO2IS 将此信息粘贴到返回给我的控制器的声明上,以便我可以根据用户允许的实体 ID 白名单限制我的基础查询?
解决方法
AFAIU 您需要维护声明以跟踪阅读的可访问性。您可以按照文章 [1] 轻松创建自定义声明以对其进行跟踪。通过这种方式,您可以参考控制器处的自定义声明来做出进一步的决定。
您必须为每个用户更新此声明值。为此,您可以按照 doc[3] 使用 SCIM API[2] 扩展自定义声明的 SCIM 端点。
[1]https://medium.com/@inthiraj1994/lets-add-a-custom-claim-to-oidc-in-wso2-is-d871e418d6b0 [2]https://is.docs.wso2.com/en/latest/develop/scim2-rest-apis/#/scim-20-api-definition [3]https://is.docs.wso2.com/en/latest/develop/extending-scim2-user-schemas/#extending-scim-20-user-schemas