未分類
29 12 月 2020

求助啊!类似飞书开放平台的接口权限控制怎么做?

求助啊!类似飞书开放平台的接口权限控制怎么做?

資深大佬 : asanelder 2

俺目前在做一个平台,需要提供一些开放 api (以 http 的形式)给第三方调用。

认证部分俺解决了,使用的是,oauth 。

但鉴权部分,需要用户申请相应的权限,才可以调用相关的接口。一个例子,如飞书的开放接口设计,需要申请相关权限才能设备相关 api 。

https://open.feishu.cn/document/ukTMukTMukTM/uQjN3QjL0YzN04CN2cDN

之前见过使用 shiro 做权限控制,但那个系统有明显的用户,角色,权限三个层级。而以上飞书的例子是没有角色这个东西的。

现在想请教一个有类似经验的老铁,飞书的那种权限控制是怎么设计的呢?

俺担心自己走偏了,所以找找行业实践,有没有老铁指点一二啊~~~

大佬有話說 (13)

  • 資深大佬 : YIsion

    token 做鉴权,可以参考 github 的实现

  • 資深大佬 : catror

    大概是 ABAC

  • 資深大佬 : dorothyREN

    shiro 不验证 角色 只验证权限不就行了。。。

  • 資深大佬 : janus77

    这个权限申请好像就是发个邮件填个表那种吧,人工审核以后后台开的

  • 資深大佬 : tomsun28

    感觉这个整体抽象起来还是 rbac,你需要的是可以动态修改赋权给角色的权限数据。只是这里把角色隐化了。
    想想大概应该可以这样弄,水平有限勿喷
    用户-角色组-资源权限
    新建的用户除了拥有一些基本角色外,拥有一个单独自定义角色,此角色来拥有那些开放接口的访问权限,我们可以通过接口调用动态修改权限配置
    [需要用户申请相应的权限] 这个也一样,维护一张申请表,若审核通过就动态修改角色权限配置信息

    推荐参考使用 sureness – https://github.com/tomsun28/sureness

  • 資深大佬 : ResidualWind

    这个权限设计思路可以参考下
    https://github.com/Heeexy/SpringBoot-Shiro-Vue

  • 資深大佬 : sazima

    不用 shiro 不就行了

  • 資深大佬 : leopod1995

    这个我做过,#5 说的有道理, 补充个例子。

    1,把所有可能的权限做个权限 list, 例如 readSomething, write;
    2,Role 绑定权限内容(read)和用户(第三方 appid);
    3, 第三方申请 read 权限,绑定到第三方的 role 。
    至此,第三方申请什么权限,授权之后就有什么权限。
    ————————————
    补充:
    接口一定是要和权限做模式匹配的,比如 getuserinfo 一定是在 call 之前就做”读取用户信息“权限认证的。
    Oauth 授权的用户也要和 getuserid 的 userid 做匹配。

  • 資深大佬 : hsluoyz

    用 casbin,支持 RBAC 、ABAC,中间切换模型也很简单

  • 資深大佬 : asanelder

    @tomsun28 #5
    @ResidualWind #6
    @leopod1995 #8
    @hsluoyz #9

    感谢老铁提供的线索和思路,俺这几天研究一下,有不明白再来请教!!!

  • 資深大佬 : zhenjiachen

    我咋看不到这个页面

  • 資深大佬 : chinvo

    如果是要限制应用的权限,用 scope

    如果是要限制用户的权限,用 rbac

  • 資深大佬 : xuanbg

    开发 API 哪有什么权限?都是验签。