领域驱动设计中的访问控制

小开

最佳答案

那么我应该把访问控制逻辑放在哪里呢？

根据这一点: https://softwareengineering.stackexchange.com/a/71883/65755的策略执行点应该正好在 UserService.editProfile()的调用之前。

我得出了同样的结论: 它不可能出现在 UI 中，因为多个 UI 会导致代码重复。它应该是在域事件创建之前，因为它们表明我们已经在系统中做了一些事情。因此，我们可以限制对域对象或使用这些域对象的服务的访问。通过 CQRS，我们不需要通过读模型拥有域对象，只需要服务，所以如果我们想要一个通用的解决方案，我们必须限制对服务的访问。我们可以将访问决策放在每个服务操作的开头，但那将是 grant all, deny x安全反模式。

我应该如何实施它？

这取决于哪种访问控制模型适合该域，因此它取决于用户情景。通过访问决策，我们通常发送一个访问请求，并等待一个权限返回。访问请求通常包括以下几个部分: 主题、资源、操作、环境。因此，主体需要对环境中的资源执行操作的权限。首先，我们识别主题，然后对其进行身份验证，然后是授权，在授权之后，我们检查访问请求是否符合我们的访问策略。每个访问控制模型都以类似的方式工作。办公室。他们可能缺少这些步骤中的一些，但这并不重要..。

我创建了一个访问控制模型的简短列表。我将规则、策略放入注释中，但是通常我们应该将它们存储在一个数据库中，如果我们想要有一个良好的可维护的系统，可能是 XACML 格式的..。

通过基于身份的访问控制(IBAC) ，我们有一个身份权限存储(访问控制列表，功能列表，存取控制矩阵)。例如，通过访问控制列表，我们存储可以拥有权限的用户或组的列表。
```
UserService
@AccessControlList[inf3rno]
editProfile(EditUserProfileCommand command)
```
By lattice based access control (LBAC) the subject has a clearance level, the resource has a required clearance level, and we check which level is higher...
```
@posseses[level=5]
inf3rno


UserService
@requires(level>=3)
editProfile(EditUserProfileCommand command)
```
By role based access control (RBAC) we define subject roles and we grant permissions to subjects whose act the actual role.
```
@roles[admin]
inf3rno


UserService
@requires(role=admin)
editProfile(EditUserProfileCommand command)
```

By attribute based access control (ABAC) we define subject, resource and environment attributes and we write our policies based on them.

@attributes[roles=[admin]]
inf3rno


UserService
@policy(subject.role=admin or resource.owner.id = subject.id)
editProfile(EditUserProfileCommand command)
@attribute(owner)
Subject getOwner(EditUserProfileCommand command)

By policy based access control (PBAC) we don't assign our policies to anything else, they are standalone.

@attributes[roles=[admin]]
inf3rno


UserService
editProfile(EditUserProfileCommand command)
deleteProfile(DeleteUserProfileCommand command)
@attribute(owner)
Subject getOwner(EditUserProfileCommand command)


@permission(UserService.editProfile, UserService.deleteProfile)
@criteria(subject.role=admin or resource.owner.id = subject.id)
WriteUserServicePolicy

By risk-adaptive access control (RAdAC) we base our decision on the relative risk profile of the subject and the risk level of the operation. This cannot be described with rules I think. I am unsure of the implementation, maybe this is what stackoverflow uses by its point system.
By authorization based access control (ZBAC) we don't do identification and authentication, instead we assign permissions to identification factors. For example if somebody sends a token, then she can have access to a service. Everything else is similar to the previous solutions. For example with ABAC:
```
@attributes[roles=[editor]]
token:2683fraicfv8a2zuisbkcaac


ArticleService
@policy(subject.role=editor)
editArticle(EditArticleCommand command)
```
因此，所有知道 2683fraicfv8a2zuisbkcaac令牌的人都可以使用该服务。

诸如此类。

还有许多其他的型号，最合适的总是取决于你的客户的需要。

总结一下

- "security concerns should be handled outside the domain"
- "access control requirements are domain specific"

两者都可能是正确的，因为安全性不是域模型的一部分，但是它的实现依赖于域模型和应用程序逻辑。

两年后编辑 2016-09-05

自从我以 DDD 新手的身份回答了自己的问题后，我读了 Vaughn Vernon 的执行领域驱动设计。这是一本关于这个主题的有趣的书。下面是其中的一段话:

这就构成了一个新的有限上下文——身份与访问上下文-并将通过标准被其他有界上下文使用 DDD 集成技术访问上下文是一个通用子域。产品将被命名为爱情。

因此，根据弗农可能是最好的解决方案，移动访问控制到一个通用的子域。