Estou tentando entender a troca inerente entre funções e permissões quando se trata de controle de acesso (autorização). Vamos começar com um dado: em nosso sistema, uma Permissão será uma unidade de acesso refinada (" Editar recurso X ", " Acessar a página do painel " etc.). Uma função será uma...
Estou usando tokens JWT em cabeçalhos HTTP para autenticar solicitações para um servidor de recursos. O servidor de recursos e o servidor de autenticação são duas funções de trabalho separadas no Azure. Não consigo decidir se devo armazenar as reivindicações no token ou anexá-las à solicitação /...
Primeiro plano Estamos passando de uma plataforma monolítica para uma arquitetura mais orientada a serviços. Estamos aplicando princípios DDD muito básicos e dividindo nosso domínio em diferentes contextos limitados. Cada domínio é distribuído e expõe um serviço por meio de uma API da web...
Estou projetando uma API REST usando autorização / autenticação por meio de uma chave de API. Tentei descobrir qual é o melhor lugar para isso e descobri que muitas pessoas sugerem o uso de um cabeçalho HTTP personalizado, como ProjectName-Api-Key, por exemplo: ProjectName-Api-Key: abcde mas...
Estou trabalhando em um pequeno aplicativo tentando entender os princípios do design controlado por domínio. Se for bem-sucedido, pode ser um piloto para um projeto maior. Estou tentando seguir o livro "Implementing Design Orientado a Domínios" (de Vaughn Vernon) e tentando implementar um fórum de...
Planejamos refatorar o sistema da empresa em um sistema baseado em microsserviço. Esses microsserviços serão usados por nossos próprios aplicativos internos da empresa e por parceiros de terceiros, se necessário. Um para reserva, outro para produtos etc. Não temos certeza de como lidar com...
Estou tentando seguir o modelo de controle de acesso às bases de função para restringir o que os usuários podem ou não fazer no meu sistema. Até o momento, tenho as seguintes entidades: usuários - Pessoas que usarão o sistema. Aqui eu tenho nomes de usuário e senhas. Papéis - conjunto de papéis...
Atualmente, essa questão não se encaixa no nosso formato de perguntas e respostas. Esperamos que as respostas sejam apoiadas por fatos, referências ou conhecimentos, mas essa pergunta provavelmente solicitará debates, argumentos, pesquisas ou discussões prolongadas. Se você acha que...
Os microsserviços devem ser responsáveis por manipular sua própria autorização ou você acha melhor ter um serviço de autorização separado que seja compartilhado por todos ou por um subconjunto (dentro do mesmo domínio comercial) dos microsserviços? Para mim, o último faz mais sentido, pois...
Estou lendo sobre autenticação / autorização em aplicativos da web. Alguém poderia confirmar / corrigir meu conhecimento atual? Cookies: na versão inicial, um arquivo de texto com um ID de cliente exclusivo e todas as outras informações necessárias sobre o cliente (por exemplo, funções) Sessão:...
Desejo implementar um serviço de autenticação mais robusto e jwté uma grande parte do que quero fazer, e entendo como escrever o código, mas estou com um pouco de dificuldade para entender a diferença entre as reivindicações isse as reservadas aud. Entendo que aquele define o servidor que está...
O Exchange 2010 tem um modelo de delegação em que grupos de cmdlets winrm são essencialmente agrupados em funções e as atribuídas a um usuário. ( Fonte da imagem ) Este é um modelo excelente e flexível, considerando como eu posso aproveitar todos os benefícios do PowerShell, enquanto uso as...
Estou no processo de projetar 3 componentes que funcionarão em sinfonia entre si: Um serviço da Web RESTful que requer BasicAuthHTTPS em todas as chamadas e é o que realmente faz todo o trabalho pesado para o meu sistema (faz o trabalho) Uma interface da web que converte ações do usuário final em...
Fundo: Atualmente no processo de construção de uma API REST, usando o nó w / express e é consumido por um aplicativo móvel e, eventualmente, por um site (baseado em navegador moderno). Estou tentando identificar a melhor maneira de autorizar a solicitação de atualização / ação de um usuário, para...
Sou relativamente novo no jwt.io e na autenticação e estou usando o JWT.io da seguinte maneira. Lado do servidor Depois que o usuário faz login, eu gero um token useridincorporado e o passo de volta para o usuário no corpo da mensagem Navegador / JS do cliente Estou armazenando o token no...