Supported Models
- ACL (Access Control List)
- ACL con superuser
- ACL senza utenti: Questo è particolarmente utile per i sistemi che non dispongono di autenticazione o accessi utente.
- ACL senza risorse: In alcuni scenari, l'obiettivo è un tipo di risorsa piuttosto che una risorsa individuale. Permessi come "scrivi-articolo" e "leggi-log" possono essere utilizzati. Questo non controlla l'accesso a un articolo o a un log specifico.
- RBAC (Role-Based Access Control)
- RBAC con ruoli di risorsa: Sia gli utenti che le risorse possono avere ruoli (o gruppi) contemporaneamente.
- RBAC con domini/tenant: Gli utenti possono avere diversi insiemi di ruoli per diversi domini/tenant.
- ABAC (Attribute-Based Access Control): È possibile utilizzare sintassi come "resource.Owner" per ottenere l'attributo per una risorsa.
- PBAC (Policy-Based Access Control): A flexible access control model that makes authorization decisions based on policies defined as rules, supporting dynamic and contextual authorization.
- BLP (Bell-LaPadula): A formal state transition model of computer security policy that describes a set of access control rules which use security labels on objects and clearances for subjects.
- Biba (Biba Integrity Model): A computer security model that restricts information flow in a system to prevent unauthorized disclosure of classified information.
- LBAC (Lattice-Based Access Control): A formal access control model that combines confidentiality and integrity controls in a unified framework, implementing a lattice structure for granular access control decisions.
- UCON (Usage Control): A next-generation access control model that emphasizes continuous authorization, attribute mutability, and a unified framework of authorizations, obligations, and conditions.
- RESTful: Supporta percorsi come "/res/*", "/res/:id" e metodi HTTP come "GET", "POST", "PUT", "DELETE".
- IP Match: Supports IP address matching for network-based access control.
- Deny-override: Sono supportati sia autorizzazioni di tipo allow che di tipo deny, dove deny sovrascrive allow.
- Priority: Le regole dei criteri possono essere prioritarizzate, simili alle regole del firewall.