Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Тимур Нугаев "Разграничение доступа в приложени...

DotNetRu
October 05, 2019
Programming
0
26

Тимур Нугаев "Разграничение доступа в приложении с микросервисной архитектурой" 

Практический каждый разработчик в ходе своей карьеры сталкивался с необходимостью написания собственной или интегрировании со сторонней системой авторизации.
В настоящее время существуют стандарты авторизации и готовые фреймворки, их реализующие – касалось бы бери да используй!
Но при попытке это сделать выясняется то, что примеры использования приведены либо с точки зрения примитивных сценариев работы, либо с точки зрения наиболее массового использования и их категорически не хватает для энтерпрайз приложения.
В данном докладе будет изложен наш опыт разработки системы разграничения доступа в микросервисном окружении, а именно:
- Базовые понятия разграничения доступа
- Применение протоколов OAuth 2.0 и OpenIdConnect
- Различные сценарии авторизации и вытекающие из них тонкости реализации
- Практики использования Thinktecture IdentityServer 4 для сведения всего вышеперечисленного воедино.

DotNetRu

October 05, 2019
Tweet

More Decks by DotNetRu

See All by DotNetRu
Кирилл Лихтарович «Версионирование и кодогенерация в REST API»
dotnetru
0
220
Дмитрий Бабушкин «Мержилка .sln: быстро и надёжно, без UI и юнит-тестов»
dotnetru
0
140
Артём Микулич «Как интегрироваться с (не-)надёжным third-party API при помощи Polly»
dotnetru
0
140
Иван Патудин «gRPC и его реализация в .NET Core»
dotnetru
0
500
Дмитрий Павлов «Greenplum: Быстро, параллельно, консистентно»
dotnetru
0
270
Филипп Бочаров «Распределенная трассировка Jaeger в .NET»
dotnetru
0
300
Андрей Сергеев "Вопросы nullabilily в платформе .NET, применение функционального подхода в разработке с использованием типов Unit, Tagged Union, Optional, Result, разделение исключительных ситуаций и ожидаемых результатов при обработке ошибок."
dotnetru
0
140
Павел Московой "Работа с HTTP в платформе .NET, собственный движок для работы с HTTP, использующий функциональный подход на основе типа Result для обработки HTTP-ответа вместо исключений."
dotnetru
0
110
Сергей Огородников "Практика построения сервисов на основе ViennaNET"
dotnetru
0
130

Other Decks in Programming

See All in Programming
シェーダーで魅せるMapLibreの動的ラスタータイル
satoshi7190
1
480
Ethereum_.pdf
nekomatu
0
470
C++でシェーダを書く
fadis
6
4.1k
デザインパターンで理解するLLMエージェントの作り方 / How to develop an LLM agent using agentic design patterns
rkaga
9
1.4k
Contemporary Test Cases
maaretp
0
140
Compose 1.7のTextFieldはPOBox Plusで日本語変換できない
tomoya0x00
0
200
ECS Service Connectのこれまでのアップデートと今後のRoadmapを見てみる
tkikuc
2
260
Amazon Bedrock Agentsを用いてアプリ開発してみた!
har1101
0
350
Functional Event Sourcing using Sekiban
tomohisa
0
110
Click-free releases & the making of a CLI app
oheyadam
2
120
Nurturing OpenJDK distribution: Eclipse Temurin Success History and plan
ivargrimstad
0
1.1k
Jakarta EE meets AI
ivargrimstad
0
740

Featured

See All Featured
Making the Leap to Tech Lead
cromwellryan
133
8.9k
Visualization
eitanlees
145
15k
How STYLIGHT went responsive
nonsquared
95
5.2k
Build your cross-platform service in a week with App Engine
jlugia
229
18k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
131
33k
Intergalactic Javascript Robots from Outer Space
tanoku
269
27k
Building Applications with DynamoDB
mza
90
6.1k
Music & Morning Musume
bryan
46
6.2k
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
47
5k
Why Our Code Smells
bkeepers
PRO
334
57k
Typedesign – Prime Four
hannesfritz
40
2.4k
Imperfection Machines: The Place of Print at Facebook
scottboms
265
13k

Transcript

  1. Разграничение доступа в приложении с микросервисой архитектурой Тимур Нугаев

  2. Services Web server Application A Services Web server Application B

    Services Web server Application N Authorization Server OAuth2.0 OpenID Connect Thinktekture IdentityServer 4.0 2

  3. Аутентификация Идентификация 3

  4. Идентификация Проверка подлинности Аутентификация 4

  5. Идентификация Проверка подлинности Аутентификация 5

  6. Идентификация Проверка подлинности Аутентификация 6

  7. Идентификация Проверка подлинности Аутентификация 7

  8. Авторизация Контекст Субъект Окружение Ресурс Действие Запретить Разрешить Политика 8

  9. Проверка на authorization service Авторизация в контексте приложения Фильтрация результатов

    запросов Сервис Roles based Claims based ABAC (XACML, NGAC) Декларативная Client - Api Resource 9

  10. Client Resource Server Authorization Server Resource Owner api/photos /authorize /token

    /userinfo /introspect /revoke 10

  11. Client Resource Server Resource Owner profile: - name - email

    roles: - role_name Authorization Server photos: - api/photos - api/photos/descriptions API Scopes 11

  12. Client Resource Server Resource Owner photos: - api/photos - api/photos/descriptions

    profile: - name - email roles: - role_name Authorization Server Id Scopes 12

  13. Client (Photo retouch app) Resource Server (Photo storage) Authorization Server

    (Some social network) Resource Owner retouch my photos photos: api/photos profile: - name - email roles: - role_name client_id API scopes Id scopes Client photos profil e role s 13

  14. Client Resource Server Authorization Server photos: api/photos Resource Owner redirect

    to AS photos profile client_id profile: - name - email roles: - role_name client_id API scopes Id scopes Client photos profil e role s 14

  15. Client Authorization Server photos: api/photos Resource Server Resource Owner photos

    profile client_id client_id API scopes Id scopes Client photos profil e role s /authorize 15

  16. Client Resource Server Authorization Server photos: api/photos Resource Owner Login

    16

  17. Client Authorization Server photos: api/photos Resource Server Resource Owner 17

  18. Client Resource Server Authorization Server photos: api/photos Resource Owner Contest

    photos profile 18

  19. Client Authorization Server photos: api/photos Resource Server Resource Owner 19

  20. Client Authorization Server photos: api/photos Resource Server Resource Owner code

    callback code /token code 20

  21. Client Authorization Server photos: api/photos Resource Server Resource Owner id_token

    CLAIMS: - sub : 1 - name: kolyan - email: kolyan@... access_token photos profile CLAIMS: - sub : 1 - name: kolyan - email: kolyan@... access_token id_token refresh_token 21

  22. Client Authorization Server photos: api/photos Resource Server Resource Owner access_token

    refresh_token cookie 22

  23. Client photos: api/photos Resource Server Resource Owner access_token refresh_token cookie

    cookie Authorization Server refresh_token /token 23

  24. Client Authorization Server photos: api/photos Resource Server Resource Owner api/photos/{sub}

    access_token 24

  25. Client Authorization Server photos: api/photos Resource Server Resource Owner Retouched

    Successfully! 25

  26. Но есть нюанс! 26

  27. Нюанс первый 27

  28. Client Resource Server Authorization Server photos: api/photos Resource Owner Contest

    photos profile 28

  29. photos: api/photos Resource Server Contest Authorization Server photos profile Resource

    Owner Client 1. Доступ к данным определяется компанией 29

  30. photos: api/photos Resource Server Contest Authorization Server photos profile Resource

    Owner Client 1. Доступ к данным определяется компанией 2. Нельзя допустить нарушение бизнес-процессов 30

  31. photos: api/photos Resource Server Contest Authorization Server photos profile Resource

    Owner Client 1. Доступ к данным определяется компанией 2. Нельзя допустить нарушение бизнес-процессов 3. Пользователь - объект проверки 31

  32. Нюанс второй 32

  33. Client Resource Server Authorization Server Resource Owner redirect to AS

    photos profile client_id profile: - name - email roles: - role_name client_id API scopes Id scopes Client photos profil e role s role_name == ? photos: api/photos 33

  34. Client Resource Server Authorization Server Resource Owner redirect to AS

    photos profile profile: - name - email roles: - role_name client_id API scopes Id scopes Client photos profil e role s role_name == ? photos: api/photos client_id roles 34

  35. client_id API scopes Id scopes profile: - name - email

    role_name == ? photos profile Client roles roles: photos: api/photos - role_name Resource Server Authorization Server redirect to AS photos profile Resource Owner client_id Client roles UserInfo endpoint? 35

  36. client_id API scopes Id scopes profile: - name - email

    role_name == ? photos profile Client roles roles: photos: api/photos - role_name Resource Server Authorization Server redirect to AS photos profile Resource Owner client_id Client roles UserInfo endpoint Custom API? 36

  37. client_id API scopes Id scopes profile: - name - email

    role_name == ? photos profile Client roles roles: photos: api/photos - role_name Resource Server Authorization Server redirect to AS photos profile Resource Owner client_id Client roles UserInfo endpoint Custom API Introspection endpoint? 37

  38. client_id API scopes Id scopes profile: - name - email

    role_name == ? photos profile Client roles roles: photos: api/photos - role_name Resource Server Authorization Server redirect to AS photos profile Resource Owner client_id Client roles 38

  39. Client Resource Owner /introspect access_token photos: api/photos Resource Server Authorization

    Server api/photos/{sub} access_token 39

  40. Client Resource Server Authorization Server Resource Owner role_name role_name ==

    ? photos: api/photos 40

  41. Нюанс третий 41

  42. Client Authorization Server photos: api/photos Resource Server Resource Owner client_id

    API scopes Id scopes Client photos profil e role s likes: api/likes Resource Server api/photos/{sub} access_token api/likes/{sub} access_token 42

  43. Client Authorization Server photos: api/photos Resource Server Resource Owner client_id

    API scopes Id scopes Client photo s likes profil e role s Resource Server likes: api/likes redirect to AS profile client_id photos likes 43

  44. Token Endpoint Способы получения токена (grant_types): code refresh_token password client_credentials

    44

  45. Token Endpoint Способы получения токена (grant_types): code refresh_token password client_credentials

    delegation 45

  46. Client photos: api/photos Resource Server Resource Owner client_id API scopes

    Id scopes Client photos profile roles Photos RS likes likes: api/likes Resource Server Authorization Server api/photos/{sub} access_token 46

  47. Client Resource Owner client_id API scopes Id scopes Client photos

    profile roles Photos RS likes likes: api/likes Resource Server likes access_token /token?grant_type=delegation photos: api/photos Resource Server Authorization Server api/photos/{sub} access_token 47

  48. Client Resource Owner likes: api/likes Resource Server rs_access_token rs_refresh_token photos:

    api/photos Resource Server Authorization Server api/likes/{sub} rs_access_token 48

  49. client_id API scopes Id scopes likes access_token Client photos profile

    /token?grant_type=delegation roles photos: api/photos Photos RS likes Resource Server Authorization Server api/photos/{sub} access_token likes: api/likes Resource Server Resource Owner Client Запланированные задачи! 49

  50. Client Resource Owner likes access_token /token?grant_type=delegation photos: api/photos Resource Server

    Authorization Server schedule job access_token 50

  51. Client Resource Server Authorization Server photos: api/photos Resource Owner rs_access_token

    rs_refresh_token rs_access_token rs_refresh_token 51

  52. Токены доступа Json Web Token Reference Token 52

  53. JSON Web Token 53

  54. Достоинства: Криптографическая проверка 54

  55. Достоинства: Криптографическая проверка Выданные токены нет необходимости хранить 55

  56. Недостатки: Большой размер 56

  57. Недостатки: Большой размер Отсутствие конфиденциальности 57

  58. Недостатки: Большой размер Отсутствие конфиденциальности Невозможность отозвать в случае компрометации

    58

  59. accessToken: "fdbc3bc2091d988928ecd872f25a6ebe12063790ac69272c795da3518fbcf4b9" Достоинства: Фиксированный размер Reference Token 59

  60. accessToken: "fdbc3bc2091d988928ecd872f25a6ebe12063790ac69272c795da3518fbcf4b9" Достоинства: Фиксированный размер Не содержит конфиденциальных данных 60

  61. accessToken: "fdbc3bc2091d988928ecd872f25a6ebe12063790ac69272c795da3518fbcf4b9" Достоинства: Фиксированный размер Не содержит конфиденциальных данных Можно

    отозвать 61

  62. accessToken: "fdbc3bc2091d988928ecd872f25a6ebe12063790ac69272c795da3518fbcf4b9" Недостатки: Нужно верифицировать на Introspection Enpoint 62

  63. accessToken: "fdbc3bc2091d988928ecd872f25a6ebe12063790ac69272c795da3518fbcf4b9" Недостатки: Нужно верифицировать на Introspection Enpoint Нужно хранить

    63

  64. Всем спасибо! Контакты: email: [email protected] telegram: @Aqaliareptt