CF权限控制

最新推荐文章于 2020-08-03 23:00:56 发布
最新推荐文章于 2020-08-03 23:00:56 发布
阅读量486 收藏
点赞数
分类专栏: 云计算 CloudFoundry 文章标签: uaa
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iteye_6700/article/details/82612956
版权

接口访问控制

默认的接口访问

create(POST),update(PUT)和delete操作需要cloud_controller.admin的权限范围(scope)

read(GET)操作,需要cloud_controller.admin的权限范围或用户已经登录

权限验证流程

默认的权限验证

这里讨论的都是基本的权限验证,在基类中定义的。

每一个API接口调用时,在业务方法调用前先从header的auth_token中解析了用户信息,放在当前线程的context中。

 

参考:front_controller.rb
before do
auth_token = env[ "HTTP_AUTHORIZATION" ] # 获取auth_token
VCAP::CloudController::Security::SecurityContextConfigurer. new ( @token_decoder ).configure(auth_token) # 解析token并设置到当前线程的context中
validate_scheme
end

接下来,做接口基本认证检查

先检查是否当前接口是否需要认证

在每一个model的controller类中定义了可以不需要认证即可调用的接口,如:buildpack_bits_controller定义了download方法不需要认证

allow_unauthenticated_access only: :download

如果需要认证,则检查是否从auth_token中解析出了user,如果连user都没有就无从谈认证了

最后验证当前用户是否能访问该接口

如:

validate_access(:create, obj, user, roles)

对于拥有cloud_controller.admin权限范围的用户,都通过

 

参考:base_access.rb
def read_with_token?(_)
  admin_user? || has_read_scope?
end
def create_with_token?(_)
  admin_user? || has_write_scope?
end
def update_with_token?(_)
  admin_user? || has_write_scope?
end
def delete_with_token?(_)
  admin_user? || has_write_scope?
end

这里的admin_user是看是否拥有cloud_controller.admin权限范围

参考:roles.rb
def admin?
  @scopes .include?(CLOUD_CONTROLLER_ADMIN_SCOPE)
end

查看是否拥有read权限则是查看是否拥有cloud_controller.read权限范围

参考:base_access.rb
def has_read_scope?
  VCAP::CloudController::SecurityContext.scopes.include?( 'cloud_controller.read' )
end

查看是否拥有create/update/delete权限则是查看是否拥有cloud_controller.write权限范围

参考:base_access.rb
def has_write_scope?
  VCAP::CloudController::SecurityContext.scopes.include?( 'cloud_controller.write' )
end

具体接口的权限验证

具体的接口还可以自定义权限验证。

这里以app为例

参考:app_access.rb
module VCAP ::CloudController
   class AppAccess < BaseAccess
     def create?(app)
       return true if admin_user?
       return false if app.in_suspended_org?
       app.space.developers.include?(context.user)
     end
     def update?(app)
       create?(app)
     end
     def delete?(app)
       create?(app)
     end
     def read_env?(app)
      return true if admin_user?
      app.space.developers.include?(context.user)
     end
     def read_env_with_token?(app)
       read_with_token?(app)
     end
   end
end

从代码可以看出,create/update/delete/read_env都用了同样的权限控制:用户拥有cloud_controller.admin或者是space developer角色

图示

下面的活动图更清晰的描述了创建应用的权限验证流程



 

重要的几个权限验证说明

注意这里没有提到的则是用默认的规则

组织更新

需要有cloud_controller.admin权限范围或者Organization Manager角色

空间

创建、删除

需要有cloud_controller.admin权限范围或者Organization Manager角色

更新

需要有cloud_controller.admin权限范围或Organization Manager角色或Space Manager角色

用户

用户API操作在CF这边,权限都是默认权限控制, 但用户很多信息的修改都要调用uaa的接口,需要有scim相关权限范围

关于安全

CF这边从HTTP头中取出token后,CF这边直接用jwt协议decode token,然后把其中的签名部分和uaa的签名对比,如果签名正确,则信任token的其他数据,并没有调用uaa接口去验证其他数据(如:用户名、权限范围等)。

如果在uaa修改了用户的权限范围,client则需要重新获取token,CF不会主动更新token除非token已经过期,CF会认为token非法。

iteye_6700
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
tk域名管理后台_通过CF Partner设置你的域名cname使用CloudFlare的CDN
weixin_33480380的博客
12-24 819
今天收到了CloudFlarePartner的批准邮件,点击邮件的重置密码连接后设置一下密码就能登陆到CloudFlare Partner的后台,其间会根据提示选择回答几个问题,如:如上图,会问你是在乎性能还是安全、有多少客户、客户主要地区、用的主机销售面板是什么、支付后台是什么等等之类的,因为我不销售主机,所以销售面板和支付后台这些都是乱选择的。期间可以生成HostAPIKey,要是生成了就拷贝...
nacos oaut服务地址_深度整合SpringCloud+SpringSecurity+Oauth2,搭建基于OAuth2的微服务开放平台...
weixin_39785150的博客
12-20 548
SpringCloud微服务平台 3.0.0专业版开源了,抢先体验!专业版简介搭建基于OAuth2的开放平台、为APP端、应用服务提供统一接口管控平台、为第三方合作伙伴的业务对接提供授信可控的技术对接平台分布式架构,Nacos(服务注册+配置中心)统一管理统一API网关(参数验签、身份认证、接口鉴权、接口调试、接口限流、接口状态、接口外网访问)统一oauth2认证协议后台默认账号:...
cf超强过检测源码
08-28
cf超强过检测.过320报毒正常易语言打开源码超强过检测飞天秒杀锁头
cf-uaa-lib:Ruby客户端API,用于访问Cloud Foundry用户帐户和身份验证服务
05-26
CloudFoundry UAA宝石 与进行交互的客户端gem 有关文档,请参见: : 从rubygems安装 $ gem install cf-uaa-lib 从源代码构建 $ bundle install $ gem build cf-uaa-lib.gemspec $ gem install cf-uaa-lib<version>.gem 使用宝石 #!/usr/bin/env ruby require 'uaa' token_issuer = CF::UAA::TokenIssuer.new("https://uaa.cloudfoundry.com", "vmc") puts token_issuer.prompts.inspect token = token_issuer.implicit_grant_with_creds(username: "<your_use
uaa, CloudFoundry用户帐户和身份验证( UAA ) 服务器.zip
09-18
uaa, CloudFoundry用户帐户和身份验证( UAA ) 服务器 用户帐户和认证( UAA ) 服务器 UAA是一个多租户身份管理服务,用于 Cloud Foundry,但也可以作为独立的OAuth2服务器使用。 它的主要角色是of提供商,它为客户端应用程序发出代表云工厂用户时使用的令牌。 它还
CF清理数据异常(防封版).bat
05-09
CF清理数据异常(防封版).bat
uaa认证授权流程
iteye_6700的博客
01-26 7994
uaa采用OAuth的认证方式 uaa支持多种OAuth认证方式 认证码授权(Authorization Code Grant) 浏览器请求码(Browser Requests Code) 这里的用户是已经登陆的情况,如果没登陆,在第3步会要求用户在页面填写用户名和密码   非浏览器请求码(Non-Browser Requests Code) 和上面的流程一样,不同的是客户端要求...
oracle 权限控制
08-28
Oracle权限控制系统是数据库管理的重要组成部分,它用于确保只有授权的用户和进程才能访问特定的数据和执行特定的操作。本文档主要探讨了如何在Oracle环境中实施权限控制,包括对历史SQL语句的保存、登录IP地址的...
cf-tools
03-17
10. **版本控制**:`cf-tools`作为开源项目,很可能遵循Git进行版本控制,并在GitHub或其他代码托管平台上发布。 要深入理解并使用`cf-tools`,你需要具备Python编程基础,了解Cloud Foundry的工作原理,熟悉使用...
cfcommunity:CF社区
07-10
通过分析和学习这个开源项目,开发者可以了解到如何构建类似的社区平台,包括如何处理用户交互、数据存储、权限管理等方面的知识。同时,对于想要贡献代码的人来说,这也是一个了解Git协作流程和PHP开发实践的好机会...
linux下cf卡的底层驱动代码
04-14
硬件接口层直接与CF控制器通信,而文件系统接口层则处理上层文件系统的请求。 在描述中提到的"kernel"部分,即Linux内核驱动,通常包括以下组件: 1. **探测和初始化**:驱动程序会在系统启动时探测是否存在CF卡...
CF-Root-SGS3-v6.0.zip_CF-Root-SGS3-V6.0_ROOT
最新发布
09-21
在Android操作系统中,root权限意味着用户可以完全控制手机,访问和修改系统级别的文件,安装自定义固件,以及禁用预装应用等。 描述中的"CF-Root-SGS3-v6.0 you can root your device"进一步确认了这个压缩包的...
教大家分析过掉CF的CRC检测辅助手段
hzw320的博客
08-03 1万+
FPS游戏发展至今,阻挡辅助开发者脚步的往往不是数据和功能开发,而是高难度的检测。 现如今,游戏的各种检测的手段越来越多,也越来越五花八门。 列如: 检测参数, 检测堆栈, 检测注入等等。 其中CRC 是众多检测手段中最为常见的,同时在各大新手和老鸟之间也广为津津乐道。 那么今天和独立团的各学员大家一起慢慢揭开“神秘”的CRC。 先来了解一下什么是CRC,百科给我们的解释是: CRC即循环冗余校验...
闪聚支付 第2章-对接SaaS以及用户认证OAuth2.0概述
9.冄2.7.號的博客
08-03 3300
对接SaaS 基础概念 SaaS SaaS是Software-as-a-Service(软件即服务)的简称,它是一种通过互联网提供软件服务的模式,与传统软件相比有如下几点区别: 1、SaaS软件不再是用户向软件供应商定制软件或进行二次开发,而是供应商将软件部署在自己的服务器上并通过互联网提供在线服务。 2、软件供应商负责搭建一切网络设备、软硬件运行平台等基础设施,并全权负责运营和维护软件。 3、用户根据实际需要通过互联网订购所需要的软件服务,按照订购服务的多少和时间长短支付费用。 4、用户不需要一次性支付很
定制UAA登录界面
PredixCN的博客
08-10 5384
作者:唐翊国,开发者生态资深经理,GE数字集团 23年工作经验,长期在杜邦、欧文斯科宁、庄信万丰、通用电气医疗等从事制造业信息化工作,规划、实施了大量MES、SAP ERP、LIMS、BPM等项目,积累了丰富的制造业数字化转型经验。   如果您还没有Predix试用帐号,请访问 https://supportcentral.ge.com/esurvey/GE_survey/takeSurv
使用UAA OAuth2授权服务器–客户端和资源
最佳 Java 编程
06-05 853
在上一篇文章中,我介绍了如何使用Cloud Foundry UAA项目启动OAuth2授权服务器,以及如何使用OAuth2授权代码流程中涉及的一些参与者来填充它。 我已经在Digital Ocean网站上找到了这篇文章,在描述OAuth2授权代码流方面做得很好,因此,与其重新哈希该流中涉及的内容,我不如直接使用Spring Boot / Spring Security来实现该流。 下...
Android安全之使用root权限绕过检测机制,强行自动允许应用的悬浮窗/应用后台弹出界面等权限
没错, 我是东芝
01-07 8935
分析源码 该技术可以通过root权限,绕过权限检测机制, 在后台实现静默地自动授予任意app的任意权限, 没错: 自动授予[任意]app 的 [任意] 权限, 就是这么可怕! 以悬浮窗权限为例, 下面来说下我的研究的过程和最终解决方案: 大概以前在安卓4.x-6.x时代,android原生的悬浮窗权限是默认允许的,导致悬浮窗锁机应用病毒流行, 后来国内MIUI flyme等系统自己加了个悬...
alibaba-nacos-discovery-server在nacos中注册不了的问题
热门推荐
qq_23727789的博客
02-15 1万+
描叙:下文为我的pom.xml &lt;parent&gt; &lt;groupId&gt;org.springframework.boot&lt;/groupId&gt; &lt;artifactId&gt;spring-boot-starter-parent&lt;/artifactId&gt; &lt;version&gt;2.1.2.RELEASE&lt;/versi...
中控C3900过程控制器技术规格与应用解析
用户管理功能包括4级权限控制,确保系统安全。为了方便数据管理和分析,C3900支持组态备份、历史数据记录手动和自动启停。通讯方面,提供了RS-232C/RS-485串行接口、以太网接口以及CF卡接口,便于与其他设备连接和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值