Supported Models
- ACL (Access Control List)
- ACL mit Superuser
- ACL ohne Benutzer: Dies ist besonders nützlich für Systeme, die keine Authentifizierung oder Benutzeranmeldungen haben.
- ACL ohne Ressourcen: In einigen Szenarien ist das Ziel eine Art von Ressource anstelle einer einzelnen Ressource. Berechtigungen wie "write-article" und "read-log" können verwendet werden. Dies kontrolliert nicht den Zugriff auf einen bestimmten Artikel oder Log.
- RBAC (Role-Based Access Control)
- RBAC mit Ressourcenrollen: Sowohl Benutzer als auch Ressourcen können gleichzeitig Rollen (oder Gruppen) haben.
- RBAC mit Domänen/Mandanten: Benutzer können verschiedene Rollensätze für verschiedene Domänen/Mandanten haben.
- ABAC (Attribute-Based Access Control): Syntaxzucker wie "resource.Owner" kann verwendet werden, um das Attribut für eine Ressource zu erhalten.
- PBAC (Policy-Based Access Control): A flexible access control model that makes authorization decisions based on policies defined as rules, supporting dynamic and contextual authorization.
- BLP (Bell-LaPadula): A formal state transition model of computer security policy that describes a set of access control rules which use security labels on objects and clearances for subjects.
- Biba (Biba Integrity Model): A computer security model that restricts information flow in a system to prevent unauthorized disclosure of classified information.
- LBAC (Lattice-Based Access Control): A formal access control model that combines confidentiality and integrity controls in a unified framework, implementing a lattice structure for granular access control decisions.
- UCON (Usage Control): A next-generation access control model that emphasizes continuous authorization, attribute mutability, and a unified framework of authorizations, obligations, and conditions.
- RESTful: Unterstützt Pfade wie "/res/*", "/res/:id" und HTTP-Methoden wie "GET", "POST", "PUT", "DELETE".
- IP Match: Supports IP address matching for network-based access control.
- Deny-override: Sowohl erlauben als auch verweigern von Berechtigungen werden unterstützt, wobei verweigern erlauben überschreibt.
- Priorität: Die Richtlinienregeln können priorisiert werden, ähnlich wie Firewall-Regeln.