Identity Server, как организовать авторизацию?

Question

[Расул]

Всем привет! Собираюсь использовать Identity Server 4 (IS4) для наших приложений. В IS4 будет хранится только общая информация о пользователе: организация, отдел и т. д. Есть правила авторизации или роли характерные для определенного приложения. Как я понял эти правила должны быть реализованы на стороне приложения. Допустим, правило дать доступ к ресурсу только определенному пользователю, и есть возможность динамически менять это правило. Т. Е. Правила и роли должны храниться в бд. Получается при первой авторизации пользователя я должен сохранить их в бд приложения и затем назначать правила и роли? Как правильно это сделать и правильно ли так делать?

Answer 1

[Илья]

У identity server есть UserEndpoint который может вам вернуть любую информацию о пользователе, которую вы сконфигурируете. Можно роли, можно дополнительные структуры какие-то.

А дальше вы просто настраиваете на Asp.Net авторизацию по ролям или по claims.
Если хотите чтобы изменения применялись сразу используйте reference_token, можно с небольшим кэшированием.
Если готовы подождать, то ставьте короткоживущие jwt

Comments

[Расул]

Спасибо! Правильно ли хранить роли в Identity Server? Один пользователь в одном приложении может быть Admin а в другом User. И управление ролями тоже перенесется в IS.

[Илья]

Расул, мне кажется что вы не очень верно понимаете роль identity server.
У вас стоит интеграция с aspnet identity?

[Расул]

Илья, Да, стоит интеграция. Я планирую в Identity Server хранить пользователей с общей информацией (отдел, должность и т. д.). Читал на форумах, что не правильно хранить специфичную информацию в Identity Server (роли и т. д.).

[Илья]

Расул, не понятно какой вы смысл вкладываете в

планирую в Identity Server хранить пользователей с общей информацией

В вашем случае, когда стоит интеграция с aspnet identity, поставщиком информации про пользователя является как раз aspnet identity. И вся информация про пользователя должна храниться в БД, которая обслуживает aspnet identity, в соответствующих таблицах: AspNetRoles, AspNetRoleClaims, AspNetUsers, AspNetUserClaims, AspNetUserRoles.
IdentityServer самостоятельно не хранит информацию про пользователя, ему надо предоставить поставщика пользовательской информации. Правда там есть возможность добавить in-memory хранилище пользователей для тестирования, но я не думаю что это ваш вариант.

[Расул]

Илья, Есть проект или приложение Identity Server с поставщиком asp.net Identity, где будут все пользователи и роли, допустим. Есть другие проекты который используют этот Identity Server для входа. Для каждого пользователя есть разные роли для разных приложений. Получается все эти роли вместе с пользователями будут в проекте Identity Server с поставщиком asp.net Identity? И при изменении администратор одного из приложения, должен лезть в Identity Server чтобы изменить роль?

[Илья]

Расул, вы хотите чтобы у вас была возможность назначать роли изолировано для каждого приложения? То есть вы дали роль администратора для приложения SomeService и этот администратор может создавать роли только для него?

[Расул]

Илья, Да, у каждого приложения свои роли и разрешения и свой администратор который изменяет эти роли. Как я понял эти роли должны храниться в именно в приложении а не в IS. Как, например, описывают в этой статье: href="https://leastprivilege.com/2016/12/16/identity-vs-..."

[Илья]

Расул, зависит от ситуации. Если вы не хотите добавлять дополнительную базу данных с ролями для каждого приложения, то роли можно хранить в одной БД и добавлять в токен, как и написано в статье.
Но, как мне кажется, у вас уже есть какое-то решение в голове и мы тут зря время тратим.

[Илья]

Давайте может созвонимся, а то затянулось обсуждение?

[Расул]

Илья, идея есть, хранить роли в бд приложения. Но не понятно многие моменты. Например нужно ли также дополнительно в приложении хранить и пользователей. Как проверять эти локальные роли во фронте (в виде какого то отдельной службы может быть).
Если есть возможность, можно было бы и созвониться ))

[Илья]

Расул, у меня в профиле указан телеграмм, напишите туда.