認可

Authorization

authz と略されることがある。

操作に対する許可と禁止を管理する。

誰が何をしてよいか、何をしていけないかを管理する。

認可APIの基本的な考え方

データ

認証ID

操作

操作に対する可/不可

問い合わせ

以下を引数として持つ

認証ID

操作

結果

操作に対する可/不可

問題

どこに認可の定義があるのか?

ファイルシステム自体

設定ファイル/データベース

操作には様々なものが存在している。

基本的には樹状になっているのが普通。

操作をどうやって示すか?

どうやって検索するか?

ロールが複数、多段になっている場合はどう検索するか?

ロールの数だけ繰り返し?

設計方針

操作ごとにプロバイダを用意する

アカウント管理

ファイルシステム管理

操作内容を示すトークンを用意する。

UUID?

文字列型?

認証IDを指定しない場合は、現在のコンテキストでのユーザー、ロールを認証IDとする。

関連