Lewati ke konten utama

RBAC with Conditions

Conditional RoleManager

ConditionalRoleManager mendukung fungsi kondisi kustom pada tingkat kebijakan.

Misalnya, ketika kita membutuhkan kebijakan peran sementara, kita dapat mengikuti pendekatan berikut:

model.conf

[request_definition]
r = sub, obj, act

[policy_definition]
p = sub, obj, act

[role_definition]
g = _, _, (_, _)

[policy_effect]
e = some(where (p.eft == allow))

[matchers]
m = g(r.sub, p.sub) && r.obj == p.obj && r.act == p.act

g = _, _, (_, _) menggunakan (_, _) untuk mengandung daftar argumen yang akan diteruskan ke fungsi kondisi dan _ sebagai placeholder parameter

policy.csv

p, alice, data1, read
p, data2_admin, data2, write
p, data3_admin, data3, read
p, data4_admin, data4, write
p, data5_admin, data5, read
p, data6_admin, data6, write
p, data7_admin, data7, read
p, data8_admin, data8, write

g, alice, data2_admin, 0000-01-01 00:00:00, 0000-01-02 00:00:00
g, alice, data3_admin, 0000-01-01 00:00:00, 9999-12-30 00:00:00
g, alice, data4_admin, _, _
g, alice, data5_admin, _, 9999-12-30 00:00:00
g, alice, data6_admin, _, 0000-01-02 00:00:00
g, alice, data7_admin, 0000-01-01 00:00:00, _
g, alice, data8_admin, 9999-12-30 00:00:00, _

Penggunaan Dasar

Tambahkan fungsi kondisi untuk kebijakan peran (g type policy) melalui AddNamedLinkConditionFunc, dan ketika penerapan dilakukan, parameter yang sesuai akan secara otomatis diperoleh dan diteruskan ke fungsi kondisi untuk pemeriksaan. Jika pemeriksaan berhasil, maka kebijakan peran yang sesuai (g type policy) valid, jika tidak maka tidak valid

e.AddNamedLinkConditionFunc("g", "alice", "data2_admin", util.TimeMatchFunc)
e.AddNamedLinkConditionFunc("g", "alice", "data3_admin", util.TimeMatchFunc)
e.AddNamedLinkConditionFunc("g", "alice", "data4_admin", util.TimeMatchFunc)
e.AddNamedLinkConditionFunc("g", "alice", "data5_admin", util.TimeMatchFunc)
e.AddNamedLinkConditionFunc("g", "alice", "data6_admin", util.TimeMatchFunc)
e.AddNamedLinkConditionFunc("g", "alice", "data7_admin", util.TimeMatchFunc)
e.AddNamedLinkConditionFunc("g", "alice", "data8_admin", util.TimeMatchFunc)


e.enforce("alice", "data1", "read")     // except: true
e.enforce("alice", "data2", "write")    // except: false
e.enforce("alice", "data3", "read")     // except: true
e.enforce("alice", "data4", "write")    // except: true
e.enforce("alice", "data5", "read")     // except: true
e.enforce("alice", "data6", "write")    // except: false
e.enforce("alice", "data7", "read")     // except: true
e.enforce("alice", "data8", "write")    // except: false

Fungsi kondisi kustom

Fungsi kondisional kustom perlu mengikuti tipe fungsi berikut

type LinkConditionFunc = func(args ...string) (bool, error)

misalnya:

// TimeMatchFunc is the wrapper for TimeMatch.
func TimeMatchFunc(args ...string) (bool, error) {
    if err := validateVariadicStringArgs(2, args...); err != nil {
        return false, fmt.Errorf("%s: %s", "TimeMatch", err)
    }
    return TimeMatch(args[0], args[1])
}

// TimeMatch determines whether the current time is between startTime and endTime.
// You can use "_" to indicate that the parameter is ignored
func TimeMatch(startTime, endTime string) (bool, error) {
    now := time.Now()
    if startTime != "_" {
        if start, err := time.Parse("2006-01-02 15:04:05", startTime); err != nil {
            return false, err
        } else if !now.After(start) {
            return false, nil
        }
    }

    if endTime != "_" {
        if end, err := time.Parse("2006-01-02 15:04:05", endTime); err != nil {
            return false, err
        } else if !now.Before(end) {
            return false, nil
        }
    }

    return true, nil
}

Conditional RoleManager dengan domain

model.conf

[request_definition]
r = sub, dom, obj, act

[policy_definition]
p = sub, dom, obj, act

[role_definition]
g = _, _, _, (_, _)

[policy_effect]
e = some(where (p.eft == allow))

[matchers]
m = g(r.sub, p.sub, r.dom) && r.dom == p.dom && r.obj == p.obj && r.act == p.act

policy.csv

p, alice, data1, read
p, data2_admin, data2, write
p, data3_admin, data3, read
p, data4_admin, data4, write
p, data5_admin, data5, read
p, data6_admin, data6, write
p, data7_admin, data7, read
p, data8_admin, data8, write

g, alice, data2_admin, domain2, 0000-01-01 00:00:00, 0000-01-02 00:00:00
g, alice, data3_admin, domain3, 0000-01-01 00:00:00, 9999-12-30 00:00:00
g, alice, data4_admin, domain4, _, _
g, alice, data5_admin, domain5, _, 9999-12-30 00:00:00
g, alice, data6_admin, domain6, _, 0000-01-02 00:00:00
g, alice, data7_admin, domain7, 0000-01-01 00:00:00, _
g, alice, data8_admin, domain8, 9999-12-30 00:00:00, _

Penggunaan Dasar

Tambahkan fungsi kondisional untuk kebijakan peran (g type policy) melalui AddNamedDomainLinkConditionFunc, dan saat penerapan dijalankan, parameter yang sesuai akan secara otomatis diperoleh dan diteruskan ke dalam fungsi kondisional untuk pemeriksaan. Jika pemeriksaan berhasil, maka kebijakan peran yang sesuai (g type policy) valid, jika tidak, maka tidak valid

e.AddNamedDomainLinkConditionFunc("g", "alice", "data2_admin", "domain2", util.TimeMatchFunc)
e.AddNamedDomainLinkConditionFunc("g", "alice", "data3_admin", "domain3", util.TimeMatchFunc)
e.AddNamedDomainLinkConditionFunc("g", "alice", "data4_admin", "domain4", util.TimeMatchFunc)
e.AddNamedDomainLinkConditionFunc("g", "alice", "data5_admin", "domain5", util.TimeMatchFunc)
e.AddNamedDomainLinkConditionFunc("g", "alice", "data6_admin", "domain6", util.TimeMatchFunc)
e.AddNamedDomainLinkConditionFunc("g", "alice", "data7_admin", "domain7", util.TimeMatchFunc)
e.AddNamedDomainLinkConditionFunc("g", "alice", "data8_admin", "domain8", util.TimeMatchFunc)


e.enforce("alice", "domain1", "data1", "read")              // except: true
e.enforce("alice", "domain2", "data2", "write")             // except: false
e.enforce("alice", "domain3", "data3", "read")              // except: true
e.enforce("alice", "domain4", "data4", "write")             // except: true
e.enforce("alice", "domain5", "data5", "read")              // except: true
e.enforce("alice", "domain6", "data6", "write")             // except: false
e.enforce("alice", "domain7", "data7", "read")              // except: true
e.enforce("alice", "domain8", "data8", "write")             // except: false
e.enforce("alice", "domain_not_exist", "data1", "write")    // except: false
e.enforce("alice", "domain_not_exist", "data2", "read")     // except: false
e.enforce("alice", "domain_not_exist", "data3", "write")    // except: false
e.enforce("alice", "domain_not_exist", "data4", "read")     // except: false
e.enforce("alice", "domain_not_exist", "data5", "write")    // except: false
e.enforce("alice", "domain_not_exist", "data6", "read")     // except: false
e.enforce("alice", "domain_not_exist", "data7", "write")    // except: false
e.enforce("alice", "domain_not_exist", "data8", "read")     // except: false

Fungsi kondisi kustom

Seperti Conditional RoleManager dasar, fungsi kustom didukung, dan tidak ada perbedaan dalam penggunaannya.

Perhatikan bahwa DomainMatchingFunc, MatchingFunc, dan LinkConditionFunc berada pada level yang berbeda dan digunakan dalam situasi yang berbeda.

conditional_rolemanager_with_domains