Widerruf einzugsermächtigung Muster

Daher ist es bei der Verwendung eines eigenständigen Typs für die Implementierung von Zugriffstoken häufig der Fall, dass Implementierer einen Kompromiss eingehen, “die Dauer von Zugriffstoken so kurz wie möglich zu gestalten und auf den Widerruf zu verzichten”. Policy Enforcement Point (PEP) ist ein Entwurfsmuster, das Sie auf unterschiedliche Weise implementieren können. Keycloak bietet alle notwendigen Mittel, um PEPs für verschiedene Plattformen, Umgebungen und Programmiersprachen zu implementieren. Keycloak Authorization Services stellt eine RESTful-API dar und nutzt OAuth2-Autorisierungsfunktionen für eine detaillierte Autorisierung mithilfe eines zentralen Autorisierungsservers. In Anbetracht der oben genannten, selbst wenn JWT als Format von Zugriffstoken angenommen wird, denke ich, dass gut durchdachte Autorisierungsserver-Implementierungen schließlich das Hybridmuster annehmen werden, bei dem die serverseitige Datenbank Datensätze enthält, die Zugriffstoken entsprechen. Wenn ein Ressourcenserver ein Zugriffstoken empfängt, muss er den Sperrstatus des Zugriffstokens überprüfen. Wenn ein CRL-ähnlicher Mechanismus übernommen wurde, lädt der Ressourcenserver die Liste der gesperrten Zugriffstoken von irgendwoher herunter und überprüft, ob der eindeutige Bezeichner des Zugriffstokens in der Liste enthalten ist oder nicht. Wenn hingegen ein OCSP-ähnlicher Mechanismus in Betrieb ist, übergibt der Ressourcenserver den eindeutigen Bezeichner des Zugriffstokens an eine API, die “OCSP-Responder” entspricht, und erhält im Gegenzug den Sperrstatus des Zugriffstokens. Diese Ressource definiert einen Typ, nämlich urn:my-resource-server:resources:default und einen URI /*.

Hier definiert das URI-Feld ein Platzhaltermuster, das Keycloak anzeigt, dass diese Ressource alle Pfade in der Anwendung darstellt. Mit anderen Worten, wenn Sie die Richtlinienerzwingung für Ihre Anwendung aktivieren, werden alle berechtigungen, die der Ressource zugeordnet sind, vor dem Gewähren des Zugriffs überprüft. Wir haben eine Sammlung vorkonfiguriert, die Sie herunterladen können. Sie müssen einige Umgebungsvariablen konfigurieren, um die Anforderungen anzupassen. Weitere Informationen hierzu finden Sie unter Verwenden der Auth0-API mit unseren Postman-Sammlungen. Eine Anfrage zum Sperrstatus an einen Autorisierungsserver umfasst jedoch die Netzwerkkommunikation sowie das Ausführen eines API-Aufrufs an einen Introspection-Endpunkt für ein Zugriffstoken für Bezeichnertyp. Wenn dies zutrifft, verschwindet der größte Vorteil von eigenständigen Zugriffstoken. Angesichts der Tatsache, dass der Identifikatortyp mehr Vorteile hat, ist es schwierig, überzeugende Gründe zu finden, um einen in sich geschlossenen Typ positiv zu übernehmen.