问题描述
当前,我们的Spring Boot应用程序使用okta登录。有必要为该应用程序实现RBAC,因此我试图查看我是否可以利用okta本身将用户映射到特定角色。
我想实现标准的RBAC模型,在该模型中,我将映射一个角色下的多个权限,并将这些角色与用户相关联。基本上,它涉及3级权限>角色>用户。
但是在okta中,我看不到映射角色和权限的标准方法。 RBAC是通过创建组并将组与用户相关联来实现的,这是两个级别。并且需要将组添加为自定义声明。
如何在okta中实现标准的RBAC映射(权限>角色>用户),或者需要在IDP提供程序之外进行处理。
谢谢。
解决方法
当您详细了解角色和权限时,数据倾向于特定于域并且经常更改。我建议不要尝试在授权服务器中对其进行管理。
可以让您完全控制声明的一种设计模式是形成一个自定义AuthenticationPrincipal,其中包括来自应用程序数据库的角色或权限。
如果对此模式感兴趣,请参阅我的以下资源:
,可能的解决方案:
您可以将范围(访问令牌中的 scp)设为您的权限。以下是步骤:
- 在您的授权服务器中,创建您的自定义范围(权限)并将它们设置为默认范围(这是必要的)。 例如创建 2 个默认范围:
books.read (default=true)
books.write (default=true)
-
转到授权服务器中的访问策略,如果没有定义,则创建一个。
-
在访问策略页面中创建访问策略规则,这些规则将是您在组和范围之间的映射。
-
在令牌预览选项卡中测试,这里的技巧是将范围字段留空,以便授权服务器可以返回为用户设置的默认范围,如 Okta 所述:
当客户端在令牌请求中省略范围参数时,将在访问令牌中返回默认范围,前提是该范围被允许作为访问策略规则的一部分。
-
现在在您的应用程序中请求授权代码时,请确保范围查询参数为空。
-
根据您使用的库,如果默认情况下他们希望始终返回 id_token,您可能会遇到一些问题,但您可能能够对其进行自定义。例如:https://github.com/okta/okta-auth-js/issues/827
解决方案限制:
如第 4 步和第 5 步所述,我们省略了范围查询参数,这意味着只会返回我们为用户或其组分配的自定义范围,因为 Okta 预定义的基本范围,例如 {{1 }},profile,openid ... 不会返回。这也意味着我们将跳过需要 email 范围的 OIDC,因此不会返回 openid 而只有 id_token 会。因此,此解决方案假定您不需要 Okta 预定义的任何基本范围。
如果您需要任何基本范围
如限制中所述,该解决方案假定您不需要 Okta 预定义的任何基本范围。但如果你这样做,那么下面是一个在这种情况下有效但不是那么好的解决方案。
在oauth流程中请求授权码时,需要发送两次请求
第一个:省略作用域查询参数,返回默认作用域。
第二个:将从第一个请求返回的返回范围附加到您想要的基本范围列表中,例如 access_token、openid、'email`。所以你会发送类似(已经编码)
profile免责声明:
可能不推荐上述解决方案,但它有效。如果有人发现上述解决方案有任何安全问题,请在评论中留言。