Attribuisce il certificato al modello oggetto-oggetto-azione per il controllo di accesso

1

Sto utilizzando Certificato di attributo (insieme a X509 PKC) per il controllo degli accessi. Quello che voglio veramente modellare è una semantica del controllo degli accessi in cui un soggetto ha il privilegio di eseguire determinate azioni su determinati oggetti . Un esempio potrebbe essere resource1 che vuole profilo fetch di resource2 . Qui resource1 è l'oggetto e fetch-profile è l'azione. Considerando che resource2 è l'oggetto in questo caso su cui alcune azioni devono essere eseguite da un'altra entità.

L'oggetto e le parti di azione sono facilmente ottenibili con certificati di attributi. L'oggetto è l'oggetto dell'azione di modellazione CA e I am che utilizza l'attributo Role. Tuttavia non sono sicuro di come o se sia possibile ottenere ciò che voglio con l'entità dell'oggetto. Apprezzerei davvero qualsiasi aiuto in merito.

Nota: Un'applicazione tipica in cui il soggetto assume l'identità dell'oggetto all'interno di determinati ambiti (ad es. con oAuth2) non è realmente applicabile nel mio caso. Voglio che soggetto mantenga la propria identità e faccia qualche azione su qualche altra entità. E voglio modellare questo criterio di accesso usando gli attributi certs.

    
posta Chayan Ghosh 23.08.2018 - 11:07
fonte

1 risposta

0

Da ciò che descrivi, sembra che tu stia cercando il controllo di accesso basato sui ruoli (RBAC).

Il certificato può essere utilizzato per identificare (autenticare) l'oggetto, mentre il modello RBAC gestirà l'autorizzazione. Ciò significherebbe che dovresti applicare le regole RBAC all'interno del tuo software (che non è una cosa insolita).

Si noti che le regole per i modelli RBAC possono, se lo si desidera, essere gestite al di fuori del proprio software. Solo la chiamata hasAccess($subject, $action, $object); deve essere implementata nel tuo software.
Il certificato fornisce subject , il software dovrebbe sapere quale action su cui è richiesto object .

    
risposta data 23.08.2018 - 13:16
fonte

Leggi altre domande sui tag