Autorisation
L'Autorisation (Authorization) définit quelles actions un utilisateur peut effectuer ou quelles ressources il peut accéder après avoir été authentifié, déterminant ce qu'il peut faire dans votre application.
Le service d'autorisation de Logto utilise un mécanisme basé sur des jetons. Bien que Logto fournisse un jeton d’accès, votre serveur de ressources est responsable de les valider et de les appliquer dans le cadre du contrôle d'accès.
Il existe deux types de jetons d’accès :
- Jetons d’accès : Utilisés pour accéder aux ressources API utilisateur / système.
- Jetons d’organisation : Jetons d’accès spéciaux pour les ressources d’organisation, utilisés dans une architecture multi-locataires lorsque la fonctionnalité d’organisation est activée.
Logto offre des services d'autorisation pour divers scénarios. Voici plusieurs cas d'utilisation typiques et vous pouvez choisir celui qui convient et correspond à vos besoins avec les fonctionnalités et services de Logto.
| Scénario | Comment | Flux d'autorisation |
|---|---|---|
| Protégez simplement vos ressources API, sans RBAC. | Enregistrez votre API dans Logto Console, et Logto accordera simplement des jetons d’accès | Logto accorde un jeton d’accès (sans permissions), et vous devez valider ces jetons pour protéger vos ressources API. |
| Protégez vos ressources API avec RBAC | Enregistrez votre API et appliquez RBAC pour un contrôle d'accès flexible et granulaire. | Logto accorde un jeton d’accès avec permission incluse pour protéger vos ressources API. |
| Protégez vos ressources d’organisation en utilisant RBAC au niveau de l’organisation (modèle d’organisation). | Traitez chaque organisation comme une ressource, en utilisant RBAC au niveau de l’organisation (modèle d’organisation) pour le contrôle d'accès dans une architecture multi-locataires. | Logto accorde un jeton d’organisation avec permission d’organisation pour protéger les ressources au niveau de l’organisation. |
Vous pouvez également utiliser des outils comme revendications de jetons personnalisés pour inclure des revendications supplémentaires dans les jetons d’accès afin de répondre à vos exigences techniques personnalisées. Aussi un cas d'utilisation plus avancé : Protégez vos ressources API en utilisant RBAC au niveau de l’organisation (modèle d’organisation)
Familiarisez-vous avec le contrôle d'accès basé sur les rôles
Le contrôle d'accès basé sur les rôles est utilisé dans toute l'infrastructure Logto, à la fois aux niveaux du système (contrôle d'accès basé sur les rôles) et de l’organisation (RBAC d’organisation) :
- Sujets : Il peut s'agir d'utilisateurs réels (ou de membres dans le contexte de l’organisation) ou d'entités non humaines, comme des applications machine à machine.
- Ressources API : Les ressources au sein de votre système qui nécessitent une protection.
- Rôles : Représentent des fonctions ou des responsabilités professionnelles.
- Permissions : Définissent quelles actions sont autorisées sur des ressources spécifiques.
Gérer ces entités et leurs relations vous permet de répondre de manière flexible à vos besoins en matière de contrôle d'accès. Dans Logto, vous pouvez utiliser RBAC à deux niveaux, niveau utilisateur / systèmes (aucune couche intermédiaire d’organisation impliquée), et organisations. Dans le contexte de l’organisation, il a un design RBAC indépendant que nous appelons "Modèle d’organisation".
Fonctionnalités pour l'autorisation
Enregistrez simplement les ressources API dans Logto Console et protégez vos ressources API.
Utilisez le contrôle d'accès basé sur les rôles (RBAC) pour gérer les permissions au niveau utilisateur / système pour une gestion plus facile et une flexibilité.
Utilisez le modèle d’organisation (RBAC d’organisation) pour protéger vos ressources. Idéal pour les produits multi-locataires, avec des rôles définis au niveau de l’organisation.
Utilisez des revendications de jetons personnalisés pour ajouter des revendications personnalisées afin de mettre en œuvre un contrôle d'accès basé sur les attributs.