前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >REST 服务安全

REST 服务安全

作者头像
用户7741497
发布2022-08-05 17:32:49
8860
发布2022-08-05 17:32:49
举报
文章被收录于专栏:hml_知识记录hml_知识记录

如果 REST 服务正在访问机密数据,应该对服务使用身份验证。如果需要为不同的用户提供不同级别的访问权限,还要指定端点所需的权限。

REST 服务设置身份验证

可以对 IRIS REST 服务使用以下任何形式的身份验证:

  • HTTP 身份验证标头 — 这是 REST 服务的推荐身份验证形式。
  • Web 会话身份验证 — 其中用户名和密码在 URL 中的问号后面指定。
  • OAuth 2.0 身份验证 - 请参阅以下小节。

REST 应用程序和 OAuth 2.0

要通过 OAuth 2.0REST 应用程序进行身份验证,请执行以下所有操作:

  • 将包含 REST 应用程序的资源服务器配置为 OAuth 2.0 资源服务器。
  • 允许对 %Service.CSP 进行委派身份验证。
  • 确保将 Web 应用程序(用于 REST 应用程序)配置为使用委托身份验证。
  • %SYS 命名空间中创建一个名为 ZAUTHENTICATE 的例程。 提供了一个示例例程 REST.ZAUTHENTICATE.mac,可以复制和修改它。此例程是 GitHub (https://github.com/intersystems/Samples-Security) 上 Samples-Security 示例的一部分。可以按照“下载用于 IRIS 的示例”中的说明下载整个示例,但在 GitHub 上打开例程并复制其内容可能更方便。

在例程中,修改 applicationName 的值并根据需要进行其他更改。

指定使用 REST 服务所需的权限

为了指定执行代码或访问数据所需的权限, 技术使用基于角色的访问控制 (RBAC)。

如果需要为不同的用户提供不同级别的访问权限,请执行以下操作来指定权限:

  • 修改规范类以指定使用 REST 服务或 REST 服务中的特定端点所需的权限;然后重新编译。权限是与资源名称组合的权限(例如读取或写入)。
  • 使用管理门户:
    • 定义在规范类中引用的资源。
    • 定义提供权限集的角色。例如,角色可以提供对端点的读取访问权限或对不同端点的写入访问权限。一个角色可以包含多组权限。
    • 将用户置于其任务所需的所有角色中。

此外,可以使用 %CSP.REST 类的 SECURITYRESOURCE 参数来执行授权。

指定权限

可以为整个 REST 服务指定权限列表,也可以为每个端点指定权限列表。为此:

  1. 要指定访问服务所需的权限,请编辑规范类中的 OpenAPI XData 块。对于 info 对象,添加一个名为 x-ISC_RequiredResource 的新属性,其值是以逗号分隔的已定义资源列表及其访问模式 (resource:mode),这是访问 REST 服务的任何端点所必需的。

下面显示了一个示例:

代码语言:javascript
复制
  "swagger":"2.0",
  "info":{
    "version":"1.0.0",
    "title":"Swagger Petstore",
    "description":"A sample API that uses a petstore as an example to demonstrate features in the swagger-2.0 specification",
    "termsOfService":"http://swagger.io/terms/",
    "x-ISC_RequiredResource":["resource1:read","resource2:read","resource3:read"],
    "contact":{
      "name":"Swagger API Team"
    },
...
  1. 要指定访问特定端点所需的权限,请将 x-ISC_RequiredResource 属性添加到定义该端点的操作对象,如下例所示:
代码语言:javascript
复制
      "post":{
        "description":"Creates a new pet in the store.  Duplicates are allowed",
        "operationId":"addPet",
        "x-ISC_RequiredResource":["resource1:read","resource2:read","resource3:read"],
        "produces":[
          "application/json"
        ],
        ...
  1. 编译规范类。此操作重新生成调度类。

使用 SECURITYRESOURC 参数

作为附加的授权工具,分派 %CSP.REST 子类的类具有 SECURITYRESOURCE 参数。 SECURITYRESOURCE 的值要么是资源及其权限,要么只是资源(在这种情况下,相关权限是使用)。系统检查用户是否对与 SECURITYRESOURCE 关联的资源具有所需的权限。

注意:如果调度类为 SECURITYRESOURCE 指定了一个值,并且 CSPSystem 用户没有足够的权限,那么这可能会导致登录尝试失败时出现意外的 HTTP 错误代码。为防止这种情况发生, 建议您将指定资源的权限授予 CSPSystem 用户。

本文系转载,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文系转载前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 为 REST 服务设置身份验证
    • REST 应用程序和 OAuth 2.0
      • 指定使用 REST 服务所需的权限
      • 指定权限
        • 使用 SECURITYRESOURC 参数
        相关产品与服务
        访问管理
        访问管理(Cloud Access Management,CAM)可以帮助您安全、便捷地管理对腾讯云服务和资源的访问。您可以使用CAM创建子用户、用户组和角色,并通过策略控制其访问范围。CAM支持用户和角色SSO能力,您可以根据具体管理场景针对性设置企业内用户和腾讯云的互通能力。
        领券
        问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档