REST API 服务器上资源的细粒度权限

Question

我正在使用类似 REST 的 API 构建数据交换服务器。它并不是严格意义上的 RESTful，因为服务器保存着某种状态，但我离题了。会话是使用 HTTP 身份验证和预先分配的 API 密钥的组合来构建的。 API 密钥允许服务器控制客户端可以访问哪些资源，以及在使用资源时可以执行哪些操作。

• 每个用户可以有多个密钥，但每个会话只能有一个。
• 某些密钥必须具有“平面”权限：它们只能查看和操作它们单独存储或以其他方式创建的数据。
• 其他密钥具有分层或基于角色的权限：除了查看和操作从属密钥之外，它们还可以执行平面密钥可以执行的所有操作。
• 将来，某些密钥可能会被授予特殊权限来创建、注册和委派自己的从属密钥。
• 总体而言，对所有资源的所有访问都将在“默认拒绝”的基础上进行。

考虑到这些要求并考虑到面向未来，我必须采取哪些选择才能实现这一目标？我看过很多基于 ACL 和/或基于角色的访问控制的解决方案，但我遇到的解决方案都没有能力进行如此细粒度的访问控制。

Answer 1

我最终简化了系统要求：我最终没有使用 API 密钥作为会话标识符，而是采用完整的“RESTful”路线，并对每个请求进行身份验证，针对旨在处理该请求的 LDAP 后端。

对于授权，我使用了在 LDAP 中为用户分配的组集合作为该用户拥有的“角色”。它不像最初的设计那么灵活，但它足够实用，我可以在将来更改应用程序层，而不必担心设置后移植用户和权限。