Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Java Новый топик    Ответить
Топик располагается на нескольких страницах: 1 2 3      [все]
 ABAC  [new]
asv79
Member

Откуда: Тверь
Сообщений: 3319
Всем привет!
Подскажите был ли у кого опыт построения ABAC на java
Какой подход использовали,какие либы или фреймворки - интересен лично ваш опыт или ваших знакомых
28 май 21, 23:09    [22328713]     Ответить | Цитировать Сообщить модератору
 Re: ABAC  [new]
Андрей Панфилов
Member

Откуда: Москва > Melbourne
Сообщений: 3852
Стас, тебе для чего все это? собираешься делать PEP и PIP, или вообще все? оно вообще не особо распространено ввиду сложности из-за гибкости (ну плюс в XACML не особо-то и удобный xml), вот есть такие ссылки по теме:
https://en.wikipedia.org/wiki/XACML
https://habr.com/ru/company/custis/blog/258861/
https://github.com/CUSTIS-public/EasyABAC
https://github.com/authzforce/core

я делал нечто подобное "по мотивам", т.е. чтобы было похоже на то, как компоненты взаимодействуют друг с другом, но без XML, администрирования и обязательств.

Сообщение было отредактировано: 29 май 21, 20:13
29 май 21, 20:21    [22328859]     Ответить | Цитировать Сообщить модератору
 Re: ABAC  [new]
asv79
Member

Откуда: Тверь
Сообщений: 3319
Андрей Панфилов
Стас, тебе для чего все это? собираешься делать PEP и PIP, или вообще все? оно вообще не особо распространено ввиду сложности из-за гибкости (ну плюс в XACML не особо-то и удобный xml), вот есть такие ссылки по теме:
https://en.wikipedia.org/wiki/XACML
https://habr.com/ru/company/custis/blog/258861/
https://github.com/CUSTIS-public/EasyABAC
https://github.com/authzforce/core

я делал нечто подобное "по мотивам", т.е. чтобы было похоже на то, как компоненты взаимодействуют друг с другом, но без XML, администрирования и обязательств.

Привет.Есть задача шарить ресурсы по ролям ,поэтому рбак нам не подходит
XACML я смотрел ,но как ты заметил это xml и не очень удобный

пс.а что можешь сказать про изиАБАК?
29 май 21, 23:27    [22328893]     Ответить | Цитировать Сообщить модератору
 Re: ABAC  [new]
Андрей Панфилов
Member

Откуда: Москва > Melbourne
Сообщений: 3852
asv79
Есть задача шарить ресурсы по ролям ,поэтому рбак нам не подходит
XACML я смотрел ,но как ты заметил это xml и не очень удобный


С таким рассказом шансов на реализацию у тебя крайне мало...

вот есть схема взаимодействия компонент:

Картинка с другого сайта.

на этой схеме:
- PEP - это то, что защищает какой-то ресурс/метод и пр., т.е. в приложении в большинстве случаев - это какой-то сервис, через/перед который производятся обращения к данным, он кидает запрос в PDP и оттуда получает в первом приближении ответ да/нет/неприменимо
- PDP - в общем случае оно может жить даже не в приложении, а где-то во вне, делает такое: обогащает запрос, пришедший от PEP, данными (т.е. обращается каким-то образом к PIP), если нужно, прогоняет его через реестр политик, в результате чего формируется ответ для PEP
- PAP - оно всю эту историю администрирует

с большой долей вероятности тебе ABAC не нужен, от слова совсем, потому что цели у него отличаются от "шарить ресурсы по ролям", основная цель у него - получение единой точки управления ИБ в инфраструктуре предприятия, и скорее всего тебе нужно в каком-нить @PreAuthorize "расширить" евойные возможности как-то так:
- можно сделать свой PermissionEvaluator и трактовать hasPermission() так как тебе хочется
- можно расширить SecurityExpressionRoot в DefaultMethodSecurityExpressionHandler#createSecurityExpressionRoot и реализовать свои собственные выражения
30 май 21, 00:21    [22328901]     Ответить | Цитировать Сообщить модератору
 Re: ABAC  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 8254
asv79,
Вы не потянете сабж.
Запустите хоть раз Spring Security. Он как раз шарит ресурсы по ролям.
Уж это надо знать то.
Вы и токены ни разу не пробовали по спецификации кодировать.
30 май 21, 10:41    [22328933]     Ответить | Цитировать Сообщить модератору
 Re: ABAC  [new]
asv79
Member

Откуда: Тверь
Сообщений: 3319
Андрей Панфилов


с большой долей вероятности тебе ABAC не нужен, от слова совсем, потому что цели у него отличаются от "шарить ресурсы по ролям", основная цель у него - получение единой точки управления ИБ в инфраструктуре предприятия, и скорее всего тебе нужно в каком-нить @PreAuthorize "расширить" евойные возможности как-то так:
- можно сделать свой PermissionEvaluator и трактовать hasPermission() так как тебе хочется
- можно расширить SecurityExpressionRoot в DefaultMethodSecurityExpressionHandler#createSecurityExpressionRoot и реализовать свои собственные выражения


Я просто плохо объяснил ,что мы хотим построить
Мы вводим систему ролей и тарифов, наш сервис предоставляет N-количество услуг
нужно
1 разграничить доступ к этим услугам потарифно- вот это можно сделать с RBAC
2 Но есть услуги ,которые подразделяются внутри себя на типы и вот тут уже проблема
тариф А улуга 1 - тип 1,тип 8 ,тип 12
Тариф Б услуга 1 - типы 2,14 и тд
тоесть клиент с соотвествующим типом тарифа должен зайти на страницу получения услуги 1 и увидеть только те типы,которые ему allowed,соотвественно сама услуга представляет из себя слой достаточно сложной логики( у каждого типа своя логика) ,а также запись/чтение в бд - где так же соотвественно свои представления для каждого подтипа
и тут уже RBAC не подходит,не конечно можно сделать 10 этажные expression ,но как потом это все поддерживать и масштабировать
другое дело ABAC есть набор политик для каждого тарифа - пользователь зашел на страницу услуги 1,чекер ( это из изиАБАС я подсмотрел) проверил пермиты и выдал ресурсы согласно политики
Чем это удобно ,все это не хардкодится а выводится в yaml конфиги ,где можно описать все политики( опять же из изиАБАС если я правильно там все понял) и моментально что то изменить/добавить/расширить даже без пересборки

Сообщение было отредактировано: 30 май 21, 11:30
30 май 21, 11:35    [22328939]     Ответить | Цитировать Сообщить модератору
 Re: ABAC  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 8254
asv79,
автор
тариф А улуга 1 - тип 1,тип 8 ,тип 12
Тариф Б услуга 1 - типы 2,14 и тд

Слово не тариф, тип, услуга а РОЛЬ нужно за вас писать.
Вы любите когда за вас делают вашу работу?
30 май 21, 11:51    [22328941]     Ответить | Цитировать Сообщить модератору
 Re: ABAC  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 8254
asv79,
Ну и напомню, что RBAC это роли бизнеса.
А тариф и услуга это ресурс.
А то вы начнете вводить роль тариф)))
30 май 21, 11:53    [22328942]     Ответить | Цитировать Сообщить модератору
 Re: ABAC  [new]
asv79
Member

Откуда: Тверь
Сообщений: 3319
PetroNotC Sharp
asv79,
Ну и напомню, что RBAC это роли бизнеса.
А тариф и услуга это ресурс.
А то вы начнете вводить роль тариф)))

ну вообще да, смысл такой - потарифно разграничить доступ к ресурсам
30 май 21, 12:54    [22328949]     Ответить | Цитировать Сообщить модератору
 Re: ABAC  [new]
asv79
Member

Откуда: Тверь
Сообщений: 3319
PetroNotC Sharp
asv79,
Ну и напомню, что RBAC это роли бизнеса.

роли у нас реализованы на ss и тут нет ни вопросов ,ни проблем
нужно так чтобы клиент ,который купил у нас соотвествующий тариф получал только то,что ему положено и ничего лишнего- тоесть арибутная модель
30 май 21, 12:57    [22328950]     Ответить | Цитировать Сообщить модератору
 Re: ABAC  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 8254
asv79
PetroNotC Sharp
asv79,
Ну и напомню, что RBAC это роли бизнеса.

роли у нас реализованы на ss и тут нет ни вопросов ,ни проблем
нужно так чтобы клиент ,который купил у нас соотвествующий тариф получал только то,что ему положено и ничего лишнего- тоесть арибутная модель
нет конкретики.
Это звучит как "Мир во всем мире".
Ты очень часто усложняешь проблему в своих вопросах.
КОНКРЕТНЕЕ И С РОЛЯМИ.
30 май 21, 13:07    [22328953]     Ответить | Цитировать Сообщить модератору
 Re: ABAC  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 8254
asv79
PetroNotC Sharp
asv79,
Ну и напомню, что RBAC это роли бизнеса.
А тариф и услуга это ресурс.
А то вы начнете вводить роль тариф)))

ну вообще да, смысл такой - потарифно разграничить доступ к ресурсам

Ужас. Не потарифно надо, а по ролям))
Входит 10 юзверей с одной ролью Карл!
30 май 21, 13:10    [22328955]     Ответить | Цитировать Сообщить модератору
 Re: ABAC  [new]
Андрей Панфилов
Member

Откуда: Москва > Melbourne
Сообщений: 3852
asv79
атрибутная модель


ты слово "атрибут" неправильно понимаешь: в ABAC "атрибут" - это нечто, существующее в рамках контекста, используемого для принятия решения, и к бизнес-логике он имеет отношение постольку-поскольку.
30 май 21, 14:57    [22328976]     Ответить | Цитировать Сообщить модератору
 Re: ABAC  [new]
asv79
Member

Откуда: Тверь
Сообщений: 3319
Андрей Панфилов
asv79
атрибутная модель


ты слово "атрибут" неправильно понимаешь: в ABAC "атрибут" - это нечто, существующее в рамках контекста, используемого для принятия решения, и к бизнес-логике он имеет отношение постольку-поскольку.

может и так,по факту нужно сделать доступ к ресурсам согласно тарифа
30 май 21, 22:26    [22329040]     Ответить | Цитировать Сообщить модератору
 Re: ABAC  [new]
asv79
Member

Откуда: Тверь
Сообщений: 3319
Может кто то сказать по опыту с easyAbac фреймоврком- насколько сложно его прикрутить к уже существующему проекту,в том числе где реализован RBAC на сприг секурити.
В проекте есть такое понятие как шаринг неких бизнес объектов ,которые состоят из неких подтипов( вот эти подтипы как раз должны проверяться политиками доступа)
грубо говоря я купил тариф ДОРОГО-БОГАТО и мне доступно собрать бизнес объект на типах А и Б
второй клиент купил тариф Дешево-сердито и ему доступно лишь сборка объекта на типе А
при попытке расшарить мой бизнес объект на типах А и Б этому клиенту должен быть deny ,так как его тариф не включает в себя доступ к типам Б


сделать такое на спринг секьюрити скоей всего просто невозможно
2 июн 21, 12:59    [22330272]     Ответить | Цитировать Сообщить модератору
 Re: ABAC  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 8254
asv79,

>сделать такое на спринг секьюрити скоей всего просто невозможно
== что за манера бла бла
99,9 проектов работают на ролях и вполне успешно.
Покажи реально что именно не работает.
REST или нет.
Писал хоть строчку кода или нет.
Так все вопросы ранее про токены у тебя были велосипедищи и "не могу рассказывать"
2 июн 21, 13:26    [22330292]     Ответить | Цитировать Сообщить модератору
 Re: ABAC  [new]
asv79
Member

Откуда: Тверь
Сообщений: 3319
PetroNotC Sharp
asv79,

>сделать такое на спринг секьюрити скоей всего просто невозможно
== что за манера бла бла
99,9 проектов работают на ролях и вполне успешно.
Покажи реально что именно не работает.
REST или нет.
Писал хоть строчку кода или нет.
Так все вопросы ранее про токены у тебя были велосипедищи и "не могу рассказывать"

да все на рестпоинтах
Например как пример у меня есть ресурс( который состоит из подресурсов) и человек не должен его получать если какие то из подресурсов не входят в его тариф - как я выше уже написал
в джава коде это будет объект например с коллекцией <? extentds Foo> так вот у этого фоо есть наследники - которые грубо говоря и входят в тариф
и нужно вот так если от юзера на тарифе а поступbл запрос на получение объекта со списком extents Foo и в этом списке есть те типы фоо,которые не входят в его тариф то доступа у него не должно быть к этому объекту
ну как то так ,объяснил как смог)
2 июн 21, 13:41    [22330301]     Ответить | Цитировать Сообщить модератору
 Re: ABAC  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 8254
asv79,
>этом списке есть те типы фоо,
= на входе список полиморфных объектов.
То есть в списке как базовый класс, так и Разного типа наследники. Так?
Модель в бд какая?
Тариф - Услуга - Тип.
Или услуга это просто страничка на экране?
2 июн 21, 14:18    [22330326]     Ответить | Цитировать Сообщить модератору
 Re: ABAC  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 8254
Теперь по рест:
Вариант1 это в лоб
/res/tarifs/{tarifid}/types
Страничка услуга.html по этому адресу.
Так?
2 июн 21, 14:24    [22330335]     Ответить | Цитировать Сообщить модератору
 Re: ABAC  [new]
mayton
Member

Откуда: loopback
Сообщений: 51389
Непонятно как должен действовать контроллер в этом случае. Поциент запросил объект к которому не имел прав.
Что ему выдать. HTTP-403? Или контроллер должен каким-то образом делать фильтрацию и преобразование ответа
с учотом ролей?
2 июн 21, 14:28    [22330340]     Ответить | Цитировать Сообщить модератору
 Re: ABAC  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 8254
Далее про Spring security
Он имеет около 25 филтров при прохождении запроса.
Он имеет механизм голосования основанный на ролях
Он имеет настройку AccessDecissionManager в котором ВСЯ инфа о запросе, учетке, конфиге и системе.
Что еще надо то, программист?
2 июн 21, 14:40    [22330355]     Ответить | Цитировать Сообщить модератору
 Re: ABAC  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 8254
mayton,
Первый уровень везде это защита по урл.
А урл как построите рест.
А если урл пускает то вторая линия смотрит дальше.
Это везде так.
Если урл закрыт до контроллера не дойдет вообще.

Сообщение было отредактировано: 2 июн 21, 14:37
2 июн 21, 14:44    [22330359]     Ответить | Цитировать Сообщить модератору
 Re: ABAC  [new]
mayton
Member

Откуда: loopback
Сообщений: 51389
Тут нет ответа на вопрос. Что-же хочет бизнес? Показывать частично усеченный объект?
2 июн 21, 14:46    [22330361]     Ответить | Цитировать Сообщить модератору
 Re: ABAC  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 8254
mayton,
Ну, если гадать на кофе и моя догадка верна.
То у него модель
автор
Модель в бд какая?
Тариф - Услуга - Тип.

Тариф - > Тип один ко многим.
Тогда чел НИКОГДА не получит типы не свои при данном тарифе))))))

Сообщение было отредактировано: 2 июн 21, 14:45
2 июн 21, 14:52    [22330364]     Ответить | Цитировать Сообщить модератору
 Re: ABAC  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 8254
mayton,
Всё всегда надо начинать с Модели (с)
2 июн 21, 14:53    [22330366]     Ответить | Цитировать Сообщить модератору
 Re: ABAC  [new]
mayton
Member

Откуда: loopback
Сообщений: 51389
PetroNotC Sharp
mayton,
Ну, если гадать на кофе и моя догадка верна.
То у него модель
автор
Модель в бд какая?
Тариф - Услуга - Тип.

Тариф - > Тип один ко многим.
Тогда чел НИКОГДА не получит типы не свои при данном тарифе))))))

"Как" он их не получит? Как пустые коллекции? Или как ошибку доступа?
2 июн 21, 14:56    [22330372]     Ответить | Цитировать Сообщить модератору
 Re: ABAC  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 8254
mayton,
Как захочешь. Ошибку на экран - Заплатите для получения прав или http.error клиенту
2 июн 21, 14:59    [22330375]     Ответить | Цитировать Сообщить модератору
 Re: ABAC  [new]
asv79
Member

Откуда: Тверь
Сообщений: 3319
mayton
Тут нет ответа на вопрос. Что-же хочет бизнес? Показывать частично усеченный объект?

смотри
есть например конструктор на сайте - он состоит из напрмер элементов например 20 ( все эти элементы наследуются от одного базовго типа например)
так вот у тарифа А есть доступ только к половине этих элементов- тоесть при загрузке страницы( идет запрос на рест поинт) выдывать только 10 элементов
далее есть набор шрифтов - в тарифе чотко прописано какие доступны ,какие нет - так же выдавать только доступные

в рамках одного тарифа есть группы юзеров - наприммер это группа менеджеров,группа доярок
у этих групп есть общая область видимости объектов - пусть это будут папки с чем то
так вот что нужно например я доярка хочу расшарить свою папку кому то из группы менеджеров( не всем- а конкретному пользователю)
чтоб при заходе в свой личный кабинет он видел не только свою папку но и мою
вот такая штука мне нужна
2 июн 21, 15:00    [22330377]     Ответить | Цитировать Сообщить модератору
 Re: ABAC  [new]
mayton
Member

Откуда: loopback
Сообщений: 51389
У тебя - бизнес функция. На вход - роли и запрос а на выходе - модель кабинета. Верно?
2 июн 21, 15:04    [22330384]     Ответить | Цитировать Сообщить модератору
 Re: ABAC  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 8254
mayton,
/res/tarifs/{tarifid}/types
Юзверь зашел на
/res/tarifs/345/types
345 это айди для join
Как ты другие получишь?))))
2 июн 21, 15:04    [22330385]     Ответить | Цитировать Сообщить модератору
 Re: ABAC  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 8254
mayton,
Он делает даже не веб магазин а Конструктор веб магазинов.
Сочувствую)
2 июн 21, 15:07    [22330386]     Ответить | Цитировать Сообщить модератору
 Re: ABAC  [new]
mayton
Member

Откуда: loopback
Сообщений: 51389
PetroNotC Sharp, почему 2 запроса?
2 июн 21, 15:07    [22330387]     Ответить | Цитировать Сообщить модератору
 Re: ABAC  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 8254
mayton
PetroNotC Sharp, почему 2 запроса?
где?
2 июн 21, 15:08    [22330388]     Ответить | Цитировать Сообщить модератору
 Re: ABAC  [new]
mayton
Member

Откуда: loopback
Сообщений: 51389
PetroNotC Sharp
mayton
PetroNotC Sharp, почему 2 запроса?
где?

345 откуда?
2 июн 21, 15:12    [22330390]     Ответить | Цитировать Сообщить модератору
 Re: ABAC  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 8254
mayton,
Юзверь как то заходит на определенный тариф?
- из кук
- из списка всех тарифов
- из ярлыка на десктопе
-хакер
Это же рест законы. Не мои.
2 июн 21, 15:18    [22330396]     Ответить | Цитировать Сообщить модератору
 Re: ABAC  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 8254
mayton,

res = self._call_api('users/{user_id!s}/info/'.

https://instagram-private-api.readthedocs.io/en/latest/_modules/instagram_private_api/endpoints/users.html
2 июн 21, 15:20    [22330399]     Ответить | Цитировать Сообщить модератору
 Re: ABAC  [new]
mayton
Member

Откуда: loopback
Сообщений: 51389
asv79
mayton
Тут нет ответа на вопрос. Что-же хочет бизнес? Показывать частично усеченный объект?

смотри
есть например конструктор на сайте - он состоит из напрмер элементов например 20 ( все эти элементы наследуются от одного базовго типа например)

Конструктор сайтов - самая безперспективная вещь IMHO. 99% что твои усилия будут потрачены зря.
2 июн 21, 15:21    [22330400]     Ответить | Цитировать Сообщить модератору
 Re: ABAC  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 8254
ТС про рест еще полгода назад спорил и матерился
2 июн 21, 15:21    [22330401]     Ответить | Цитировать Сообщить модератору
 Re: ABAC  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 8254
mayton
asv79
пропущено...

смотри
есть например конструктор на сайте - он состоит из напрмер элементов например 20 ( все эти элементы наследуются от одного базовго типа например)

Конструктор сайтов - самая безперспективная вещь IMHO. 99% что твои усилия будут потрачены зря.
+1
2 июн 21, 15:22    [22330403]     Ответить | Цитировать Сообщить модератору
 Re: ABAC  [new]
asv79
Member

Откуда: Тверь
Сообщений: 3319
mayton
asv79
пропущено...

смотри
есть например конструктор на сайте - он состоит из напрмер элементов например 20 ( все эти элементы наследуются от одного базовго типа например)

Конструктор сайтов - самая безперспективная вещь IMHO. 99% что твои усилия будут потрачены зря.

это не конструктор сайтов) но юзерстори похожа-как на конструкторе сайтов в зависиомости от тарифа есть доступность к продвинутым фичам так и нам надо
2 июн 21, 19:11    [22330541]     Ответить | Цитировать Сообщить модератору
 Re: ABAC  [new]
asv79
Member

Откуда: Тверь
Сообщений: 3319
mayton
У тебя - бизнес функция. На вход - роли и запрос а на выходе - модель кабинета. Верно?

что то похожее да
тоесть по факту как ты сказал это очень похоже на функционал конструктора сайтов
- человек купил тариф - ему доступны одни фичи,у кого то тариф покруче и фич там больше
вот это все надо как то на беке реализовать -,как тут реализовать на сс я не могу понять
2 июн 21, 19:22    [22330550]     Ответить | Цитировать Сообщить модератору
 Re: ABAC  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 8254
asv79
mayton
У тебя - бизнес функция. На вход - роли и запрос а на выходе - модель кабинета. Верно?

что то похожее да
тоесть по факту как ты сказал это очень похоже на функционал конструктора сайтов
- человек купил тариф - ему доступны одни фичи,у кого то тариф покруче и фич там больше
вот это все надо как то на беке реализовать -,как тут реализовать на сс я не могу понять
а дать ему роль на его тариф не сообразили)
2 июн 21, 19:26    [22330551]     Ответить | Цитировать Сообщить модератору
 Re: ABAC  [new]
asv79
Member

Откуда: Тверь
Сообщений: 3319
PetroNotC Sharp
asv79
пропущено...

что то похожее да
тоесть по факту как ты сказал это очень похоже на функционал конструктора сайтов
- человек купил тариф - ему доступны одни фичи,у кого то тариф покруче и фич там больше
вот это все надо как то на беке реализовать -,как тут реализовать на сс я не могу понять
а дать ему роль на его тариф не сообразили)

роль дать не проблема.
ПРоблема в том ,как я выше уже писал каждый тариф это набор кучи разных фич- как ты это опишешь на спринг секурити мне не очень понятно
есть контроллер туда прилетает запрос от юзера- мы видим его роль - и что далее - мы должны согласно его роли выдать ему некий набор объектов грубо говоря- где этот набор описать и как его выдавать?)
тоесть грубо говоря тариф а включает в себя 2 таких то шрифта,4 таких то флавикона,5 еще там чего и тд до бесконечности
приведи кусок кода который будет делать это на сс- я лично не понимаю как ты собрался разграничить доступ к ресурсам
приходит другой юзер на тот же контроллер - и ему выдается другой набор функционала согласно его роли( тарифу)
2 июн 21, 19:43    [22330562]     Ответить | Цитировать Сообщить модератору
 Re: ABAC  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 8254
asv79,
Может наоборот, ты приведешь код запроса на этот урл
/res/tarifs/345/types
Где 345 параметер в хибер.
)))))
2 июн 21, 19:47    [22330564]     Ответить | Цитировать Сообщить модератору
 Re: ABAC  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 8254
asv79,
>тариф а включает в себя 2 таких то шрифта,4 таких то флавикона,5 еще там чего и тд до бесконечности
==
Как страшно то.
Люди с моделью 150 таблиц.
А у тебя нет таблиц
Тариф, шрифты, ПорноКартинки,....
?
Ты вообще, с луны свалился?
Или у тебя монго дб?
2 июн 21, 19:51    [22330566]     Ответить | Цитировать Сообщить модератору
 Re: ABAC  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 8254
asv79,
У тебя проблема.
Ты ни разу не работал с ss.
Ленивый.
2 июн 21, 19:52    [22330567]     Ответить | Цитировать Сообщить модератору
 Re: ABAC  [new]
asv79
Member

Откуда: Тверь
Сообщений: 3319
PetroNotC Sharp,
таблицы имеются)
2 июн 21, 22:10    [22330621]     Ответить | Цитировать Сообщить модератору
 Re: ABAC  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 8254
asv79
PetroNotC Sharp,
таблицы имеются)
ну и зачем глупости писать.
Если запрос у юзверя по айди 345?
2 июн 21, 22:32    [22330628]     Ответить | Цитировать Сообщить модератору
 Re: ABAC  [new]
mayton
Member

Откуда: loopback
Сообщений: 51389
PetroNotC Sharp
mayton,
Юзверь как то заходит на определенный тариф?
- из кук
- из списка всех тарифов
- из ярлыка на десктопе
-хакер
Это же рест законы. Не мои.

Задачи инфо-безопасности и REST - ортогональны. Это просто тебе удобно
примеры приводить в виде ссылок и id-шников. Я-бы предложил объекты и методы.
И каким образом Subject/Role/Permission/Assignment мапится на методы.

Да. Стас спрашивает скорее всего про веб-приложение, но разве мы не можем
обсудить бизнес-компонент в отрыве вообще от веба?
3 июн 21, 00:33    [22330658]     Ответить | Цитировать Сообщить модератору
 Re: ABAC  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 8254
mayton,
Увы не можем. По двум причинам.
1. Он соврал. Он не работал с SS.
2. Либа Всегда определяет архитектуру.
Сначала фильтруются урл.
Нужно мозги иметь чтобы пропустить хакера по урл в
/adminka
А потом спрашивать как ему не давать список).
автор
Задачи инфо-безопасности и REST - ортогональны

Опроверг я твой тезис?
3 июн 21, 07:00    [22330701]     Ответить | Цитировать Сообщить модератору
 Re: ABAC  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 8254
mayton,
В отрыве от всего и вся абстрактно есть AccessDecisionManager.
Пусть создаст топик с кодом по нему.
Он как раз ABAC понарошку решает.
3 июн 21, 07:37    [22330708]     Ответить | Цитировать Сообщить модератору
 Re: ABAC  [new]
mayton
Member

Откуда: loopback
Сообщений: 51389
PetroNotC Sharp
mayton,
Увы не можем. По двум причинам.
1. Он соврал. Он не работал с SS.
2. Либа Всегда определяет архитектуру.
Сначала фильтруются урл.
Нужно мозги иметь чтобы пропустить хакера по урл в
/adminka
А потом спрашивать как ему не давать список).
автор
Задачи инфо-безопасности и REST - ортогональны

Опроверг я твой тезис?

Чего там опровергать? Мы-же просто рассуждаем. Мне кажется что в данном топике
цена вопроса - вообще делать или не делать коробочные решения. Может ему там
один "if" поставить и задача решена. А ты ему рисуешь эпику стоимостью в 1000 поинтов.
3 июн 21, 09:59    [22330747]     Ответить | Цитировать Сообщить модератору
 Re: ABAC  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 8254
mayton,
Где код чтобы поставить if то?
Тут по теории двойка.
По практике нет кода.
И что обсуждать собрался?
По кафке чел хотя бы код дает и программирует.
А это уже пятая тема как ерундовый вопрос в веб выкладывает.
Блокировка потоков что было? А память течет что было?
3 июн 21, 10:33    [22330768]     Ответить | Цитировать Сообщить модератору
 Re: ABAC  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 8254
mayton,
Защиту урл делают все начиная от вади.
Его спроси.
3 июн 21, 10:35    [22330769]     Ответить | Цитировать Сообщить модератору
 Re: ABAC  [new]
asv79
Member

Откуда: Тверь
Сообщений: 3319
mayton

Чего там опровергать? Мы-же просто рассуждаем. Мне кажется что в данном топике
цена вопроса - вообще делать или не делать коробочные решения. Может ему там
один "if" поставить и задача решена. А ты ему рисуешь эпику стоимостью в 1000 поинтов.

любая тема,куда заходит петро - превращается в балаган ,пока мы ему отвечаем,этот троль кормится- просто игнор полный даст свои плоды.
Админам форума давно пора ввести функцию игнора ,чтобы скрывать сообщения тех,с кем не хочется общаться
3 июн 21, 11:14    [22330798]     Ответить | Цитировать Сообщить модератору
 Re: ABAC  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 8254
asv79,
22310872
3 июн 21, 11:25    [22330806]     Ответить | Цитировать Сообщить модератору
 Re: ABAC  [new]
mayton
Member

Откуда: loopback
Сообщений: 51389
asv79
mayton

Чего там опровергать? Мы-же просто рассуждаем. Мне кажется что в данном топике
цена вопроса - вообще делать или не делать коробочные решения. Может ему там
один "if" поставить и задача решена. А ты ему рисуешь эпику стоимостью в 1000 поинтов.

любая тема,куда заходит петро - превращается в балаган ,пока мы ему отвечаем,этот троль кормится- просто игнор полный даст свои плоды.
Админам форума давно пора ввести функцию игнора ,чтобы скрывать сообщения тех,с кем не хочется общаться

Петро - вредный. Но ведь он иногда тебе правильные вопросы спрашивает. Ты возьми и ответь. Если NDA так NDA.
Если честно не знаешь как делать - то скажи. Меньше пафоса - больше тебе помогают.
3 июн 21, 11:48    [22330820]     Ответить | Цитировать Сообщить модератору
 Re: ABAC  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 8254
mayton,
Пафоса у него много. Я когда спрашиваю, за компом сижу.
Сразу код пишу.
А он бла бла 4 страницы.
Все ленивые за петром только и бегают.
3 июн 21, 11:54    [22330826]     Ответить | Цитировать Сообщить модератору
 Re: ABAC  [new]
asv79
Member

Откуда: Тверь
Сообщений: 3319
mayton
asv79
пропущено...

любая тема,куда заходит петро - превращается в балаган ,пока мы ему отвечаем,этот троль кормится- просто игнор полный даст свои плоды.
Админам форума давно пора ввести функцию игнора ,чтобы скрывать сообщения тех,с кем не хочется общаться

Петро - вредный. Но ведь он иногда тебе правильные вопросы спрашивает. Ты возьми и ответь. Если NDA так NDA.
Если честно не знаешь как делать - то скажи. Меньше пафоса - больше тебе помогают.

пафоса и близко нет,петро отнимает много времени и засоряет почти все топики ,это не сложно увидеть - бегло пробежавшись по темам.
ПО факту я тут 4й год и ни разу за это время от данного человека не было ни одной внятный мысли- один пустой "псевдо - троллинг" ,который уже банально приелся и нет времени тратить на это свое время...
Но да ладно,хватит уже его обмусоливать,для меня это теперь блок лист.

По теме я определился как делать - введу новое представление тариф,в котором будет прописано все ,что по данному тарифу allowed
и соотвественно при запросе будет работать специальный чекер - который соберет в респонс ресурсы согласно описанию
3 июн 21, 17:36    [22331031]     Ответить | Цитировать Сообщить модератору
 Re: ABAC  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 8254
asv79,
Сделал как тебе выше и говорилось))))))
3 июн 21, 18:14    [22331054]     Ответить | Цитировать Сообщить модератору
Топик располагается на нескольких страницах: 1 2 3      [все]
Все форумы / Java Ответить