Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Przepraszam, czy można?

Marcin Hoppe
December 12, 2019
Programming
0
24

Przepraszam, czy można?

Uwierzytelnianie i autoryzacja to tematy ściśle ze sobą powiązane, ale nie tożsame. Uwierzytelnianie jest problemem technicznym i można go rozwiązać za pomocą gotowych protokołów (OpenID Connect, SAML) i produktów (Auth0, IdentityServer). Natura autoryzacji jest nieco inna: to aspekt często żyjący na pograniczu infrastruktury i logiki domenowej.

Jeżeli chcecie się dowiedzieć jakie możliwości w dziedzinie kontroli dostępu daje wam ASP.NET Core i jak w rozsądny sposób wpleść to w logikę waszej aplikacji, to ta prezentacja z całą pewnością jest dla was.

Marcin Hoppe

December 12, 2019
Tweet

More Decks by Marcin Hoppe

See All by Marcin Hoppe
Hacking OAuth 2.0
marcinhoppe
0
47
Problemy z JSON Web Tokens ... i garść rozwiązań
marcinhoppe
0
44
JSON Web Tokens. Problemy i rozwiązania
marcinhoppe
0
130

Other Decks in Programming

See All in Programming
Micro Frontends for Java Microservices - Devnexus 2024
mraible
PRO
0
490
What We Can Learn From OSS
inouehi
0
420
Blue/Greenデプロイの導入による 運用フローの改善
kudoas
1
380
『Railsオワコン』と言われる時代に、なぜブルーモ証券はRailsを選ぶのか
free_world21
0
240
Komplexe Oberflächen mit SVG und der Web Animation API
joergneumann
0
670
Compose-View Interop in Practice (mDevCamp 2024)
stewemetal
0
140
try! Swift Tokyo 2024 参加報告 / try! Swift Tokyo 2024 Report
hironytic
0
210
DMMプラットフォームがTiDB Cloudを採用した背景
pospome
8
4.1k
SwiftUIで使いやすいToastの作り方 / How to build a Toast system which is easy to use in SwiftUI
lovee
3
150
Goのmultiple errorsについて (2024年4月版)
syumai
3
870
Fragment Composition of GraphQL
quramy
7
1k
Changed Rules: Architectures with Lightweight Stores
manfredsteyer
PRO
0
240

Featured

See All Featured
Building a Modern Day 
E-commerce SEO Strategy
aleyda
17
6.4k
A Philosophy of Restraint
colly
197
16k
It's Worth the Effort
3n
180
27k
Intergalactic Javascript Robots from Outer Space
tanoku
266
26k
Fashionably flexible responsive web design (full day workshop)
malarkey
398
65k
How to name files
jennybc
65
93k
Atom: Resistance is Futile
akmur
259
25k
Debugging Ruby Performance
tmm1
70
11k
Building Applications with DynamoDB
mza
88
5.6k
Put a Button on it: Removing Barriers to Going Fast.
kastner
58
3.1k
Building Flexible Design Systems
yeseniaperezcruz
319
37k
Creatively Recalculating Your Daily Design Routine
revolveconf
210
11k

Transcript

  1. auth0.com Przepraszam, czy można? Autoryzacja w ASP.NET Core @marcin_hoppe

  2. auth0.com Sansa Stark, Pracownik Jon Snow, Użytkownik Arya Stark, Anonim

    Przepraszam, czy można? Game of Reviews

  3. auth0.com Garść wymagań biznesowych Przeglądanie recenzji: • Każdy może przeglądać

    dowolne produkty i ich recenzje Zarządzanie produktami: • Jedynie pracownicy mogą dodawać produkty ◦ Oczywiście, pracownicy muszą być zalogowani Przepraszam, czy można?

  4. auth0.com Wymagań biznesowych ciąg dalszy Dodawanie recenzji: • Jedynie zalogowani

    użytkownicy mogą dodawać recenzje do produktów • Użytkownicy mogą usuwać jedynie swoje recenzje Moderowanie recenzji: • Pracownicy mogą usuwać dowolne recenzje ◦ Czy oznacza to, że pracownicy mogą usuwać swoje recenzje? Przepraszam, czy można?

  5. auth0.com Przepraszam, czy można? Często mylone pojęcia Uwierzytelnianie Autoryzacja Czy

    użytkownik jest tym, za kogo się podaje? Czy użytkownik może wykonać daną akcję? System prosi użytkownika o poświadczenie swojej tożsamości System udziela dostępu na podstawie reguł i polityk Musi nastąpić przed autoryzacją Przeprowadzana dopiero po pomyślnym uwierzytelnieniu Wiem / Mam / Jestem Aktor / Akcja / Zasób

  6. auth0.com Przepraszam, czy można? Uwierzytelnianie Skorzystamy z gotowca!

  7. auth0.com Name Role Claims Przepraszam, czy można? ClaimsIdentity

  8. auth0.com Garść wymagań biznesowych Przeglądanie recenzji: • Każdy może przeglądać

    dowolne produkty i ich recenzje Zarządzanie produktami: • Jedynie pracownicy mogą dodawać produkty ◦ Oczywiście, pracownicy muszą być zalogowani Przepraszam, czy można?

  9. auth0.com Garść wymagań biznesowych Przeglądanie recenzji: • Każdy może przeglądać

    dowolne produkty i ich recenzje Zarządzanie produktami: • Jedynie pracownicy mogą dodawać produkty ◦ Oczywiście, pracownicy muszą być zalogowani Przepraszam, czy można?

  10. auth0.com Wymagań biznesowych ciąg dalszy Dodawanie recenzji: • Jedynie zalogowani

    użytkownicy i pracownicy mogą dodawać recenzje do produktów • Użytkownicy mogą usuwać jedynie swoje recenzje Moderowanie recenzji: • Pracownicy mogą usuwać dowolne recenzje ◦ Czy oznacza to, że pracownicy mogą usuwać swoje recenzje? Przepraszam, czy można?

  11. auth0.com Przepraszam, czy można? Role Based Access Control czy Claims?

  12. auth0.com Wymagań biznesowych ciąg dalszy Dodawanie recenzji: • Jedynie zalogowani

    użytkownicy i pracownicy mogą dodawać recenzje do produktów • Użytkownicy mogą usuwać jedynie swoje recenzje Moderowanie recenzji: • Pracownicy mogą usuwać dowolne recenzje ◦ Czy oznacza to, że pracownicy mogą usuwać swoje recenzje? Przepraszam, czy można?

  13. auth0.com Wymagań biznesowych ciąg dalszy Dodawanie recenzji: • Jedynie zalogowani

    użytkownicy i pracownicy mogą dodawać recenzje do produktów • Użytkownicy mogą usuwać jedynie swoje recenzje Moderowanie recenzji: • Pracownicy mogą usuwać dowolne recenzje ◦ Czy oznacza to, że pracownicy mogą usuwać swoje recenzje? Przepraszam, czy można?

  14. auth0.com Przepraszam, czy można? Polityki kontroli dostępu

  15. auth0.com ClaimsIdentity Aktor IAuthorizationRequirement Akcja AuthorizationHandlerContext Zasób Przepraszam, czy można?

    AuthorizationHandler<IAuthorizationRequirement>

  16. auth0.com Przepraszam, czy można? A co z warstwą widoku?

  17. auth0.com Wymaganie dodatkowe Przeglądanie recenzji: • Każdy może przeglądać dowolne

    produkty i ich recenzje Zarządzanie produktami: • Jedynie pracownicy mogą dodawać produkty ◦ Oczywiście, pracownicy muszą być zalogowani • Pracownicy mogą usuwać jedynie produkty, które sami dodali Przepraszam, czy można?

  18. auth0.com Przepraszam, czy można? Do zapamiętania 1. Uwierzytelnianie !== Autoryzacja

    2. RBAC ~== claims 3. Polityki kontroli dostępu a. Deklaratywne b. Imperatywne 4. Warstwa widoku !== pełna ochrona 5. Podatności: IDOR i BOLA Kod znajdziecie na GitHubie

  19. auth0.com Senior Manager, Product Security @marcin_hoppe Node.js Foundation Ecosystem Security

    Working Group OWASP Serverless Top 10 Project Leader Przepraszam, czy można? Marcin Hoppe

  20. auth0.com Do zobaczenia!