Всем привет! Собираюсь использовать Identity Server 4 (IS4) для наших приложений. В IS4 будет хранится только общая информация о пользователе: организация, отдел и т. д. Есть правила авторизации или роли характерные для определенного приложения. Как я понял эти правила должны быть реализованы на стороне приложения. Допустим, правило дать доступ к ресурсу только определенному пользователю, и есть возможность динамически менять это правило. Т. Е. Правила и роли должны храниться в бд. Получается при первой авторизации пользователя я должен сохранить их в бд приложения и затем назначать правила и роли? Как правильно это сделать и правильно ли так делать?
У identity server есть UserEndpoint который может вам вернуть любую информацию о пользователе, которую вы сконфигурируете. Можно роли, можно дополнительные структуры какие-то.
А дальше вы просто настраиваете на Asp.Net авторизацию по ролям или по claims.
Если хотите чтобы изменения применялись сразу используйте reference_token, можно с небольшим кэшированием.
Если готовы подождать, то ставьте короткоживущие jwt
Спасибо! Правильно ли хранить роли в Identity Server? Один пользователь в одном приложении может быть Admin а в другом User. И управление ролями тоже перенесется в IS.
Илья, Да, стоит интеграция. Я планирую в Identity Server хранить пользователей с общей информацией (отдел, должность и т. д.). Читал на форумах, что не правильно хранить специфичную информацию в Identity Server (роли и т. д.).
планирую в Identity Server хранить пользователей с общей информацией
В вашем случае, когда стоит интеграция с aspnet identity, поставщиком информации про пользователя является как раз aspnet identity. И вся информация про пользователя должна храниться в БД, которая обслуживает aspnet identity, в соответствующих таблицах: AspNetRoles, AspNetRoleClaims, AspNetUsers, AspNetUserClaims, AspNetUserRoles.
IdentityServer самостоятельно не хранит информацию про пользователя, ему надо предоставить поставщика пользовательской информации. Правда там есть возможность добавить in-memory хранилище пользователей для тестирования, но я не думаю что это ваш вариант.
Илья, Есть проект или приложение Identity Server с поставщиком asp.net Identity, где будут все пользователи и роли, допустим. Есть другие проекты который используют этот Identity Server для входа. Для каждого пользователя есть разные роли для разных приложений. Получается все эти роли вместе с пользователями будут в проекте Identity Server с поставщиком asp.net Identity? И при изменении администратор одного из приложения, должен лезть в Identity Server чтобы изменить роль?
Расул, вы хотите чтобы у вас была возможность назначать роли изолировано для каждого приложения? То есть вы дали роль администратора для приложения SomeService и этот администратор может создавать роли только для него?
Илья, Да, у каждого приложения свои роли и разрешения и свой администратор который изменяет эти роли. Как я понял эти роли должны храниться в именно в приложении а не в IS. Как, например, описывают в этой статье: href="https://leastprivilege.com/2016/12/16/identity-vs-..."
Расул, зависит от ситуации. Если вы не хотите добавлять дополнительную базу данных с ролями для каждого приложения, то роли можно хранить в одной БД и добавлять в токен, как и написано в статье.
Но, как мне кажется, у вас уже есть какое-то решение в голове и мы тут зря время тратим.
Илья, идея есть, хранить роли в бд приложения. Но не понятно многие моменты. Например нужно ли также дополнительно в приложении хранить и пользователей. Как проверять эти локальные роли во фронте (в виде какого то отдельной службы может быть).
Если есть возможность, можно было бы и созвониться ))
