Autorisierung
Autorisierung definiert, welche Aktionen ein Benutzer ausführen oder auf welche Ressourcen er nach der Authentifizierung zugreifen kann, und bestimmt, was er in deiner App tun kann.
Der Autorisierungsdienst von Logto verwendet einen tokenbasierten Mechanismus. Während Logto Zugangstoken bereitstellt, ist dein Ressourcenserver dafür verantwortlich, diese als Teil der Zugangskontrolle zu validieren und durchzusetzen.
Es gibt zwei Arten von Zugangstokens:
- Zugangstokens: Werden verwendet, um auf Benutzer- / System-API-Ressourcen zuzugreifen.
- Organisationstokens: Spezielle Zugangstokens für Organisationsressourcen, die in einer Multi-Tenant-Architektur verwendet werden, wenn die Organisationsfunktion aktiviert ist.
Logto bietet Autorisierungsdienste für verschiedene Szenarien. Hier sind einige typische Anwendungsfälle, und du kannst den richtigen auswählen und deine Anforderungen mit den Funktionen und Diensten von Logto abgleichen.
| Szenario | Wie | Autorisierungsablauf |
|---|---|---|
| Schütze einfach deine API-Ressourcen, ohne RBAC. | Registriere deine API in der Logto-Konsole, und Logto wird einfach Zugangstokens gewähren. | Logto gewährt Zugangstoken (ohne Berechtigungen), und du musst diese Tokens validieren, um deine API-Ressourcen zu schützen. |
| Schütze deine API-Ressourcen mit RBAC | Registriere deine API und wende RBAC für flexible, granulare Zugangskontrolle an. | Logto gewährt Zugangstoken mit Berechtigung zum Schutz deiner API-Ressourcen. |
| Schütze deine Organisationsressourcen mit organisationsbezogenem RBAC (Organisationstemplate). | Behandle jede Organisation als Ressource, indem du organisationsbezogenes RBAC (Organisationstemplate) für die Zugangskontrolle in einer Multi-Tenant-Architektur verwendest. | Logto gewährt Organisationstoken mit Organisationsberechtigung, um organisationsbezogene Ressourcen zu schützen. |
Du kannst auch Tools wie benutzerdefinierte Token-Ansprüche verwenden, um zusätzliche Ansprüche in Zugangstokens einzuschließen, um deine benutzerdefinierten technischen Anforderungen zu erfüllen. Auch ein fortgeschrittenerer Anwendungsfall: Schütze deine API-Ressourcen mit organisationsbezogenem RBAC (Organisationstemplate)
Mach dich mit rollenbasierter Zugangskontrolle vertraut
Rollenbasierte Zugangskontrolle wird in der gesamten Logto-Infrastruktur verwendet, sowohl auf Systemebene (rollenbasierte Zugangskontrolle) als auch auf Organisationsebene (organisationsbezogenes RBAC):
- Subjekte: Diese können reale Benutzer (oder Mitglieder im Organisationskontext) oder nicht-menschliche Entitäten wie Maschine-zu-Maschine-Apps sein.
- API-Ressourcen: Die Ressourcen innerhalb deines Systems, die Schutz benötigen.
- Rollen: Repräsentieren Jobfunktionen oder Verantwortlichkeiten.
- Berechtigungen: Definieren, welche Aktionen auf bestimmten Ressourcen autorisiert sind.
Das Verwalten dieser Entitäten und ihrer Beziehungen ermöglicht es dir, flexibel deine Zugangskontrollbedürfnisse zu erfüllen. In Logto kannst du RBAC auf zwei Ebenen verwenden: Benutzer- / Systemebene (ohne zwischengeschaltete Organisationsebene) und Organisationen. Im Organisationskontext hat es ein unabhängiges RBAC-Design, das wir "Organisationstemplate" nennen.
Funktionen für die Autorisierung
Registriere einfach API-Ressourcen in der Logto-Konsole und schütze deine API-Ressourcen.
Verwende rollenbasierte Zugangskontrolle (RBAC), um Benutzer- / Systemebenenberechtigungen für einfachere Verwaltung und Flexibilität zu verwalten.
Verwende das Organisationstemplate (organisationsbezogenes RBAC), um deine Ressourcen zu schützen. Ideal für Multi-Tenant-Produkte, mit auf Organisationsebene definierten Rollen.
Verwende benutzerdefinierte Token-Ansprüche, um benutzerdefinierte Ansprüche hinzuzufügen und attributbasierte Zugangskontrolle zu implementieren.