Где авторизация вписывается в многоуровневую архитектуру?

Как правило, я размещаю решения об авторизации в своих контроллерах на стороне сервера. В последнее время это были конечные точки RESTful, но я думаю, что то же самое относится и к архитектуре типов MVC. Ради аргумента предположим, что это авторизация на основе ролей. Защищенный метод будет аннотирован или проверен и при необходимости вернет 403.

Теперь, учитывая, что авторизация на самом деле является бизнес-правилом - например, «только администраторы могут перечислять X», я думаю, что они должны быть перемещены вниз на уровень. Когда контроллер просит бизнес-уровень выполнить операцию, сервисный или бизнес-уровень сообщает контроллеру, что он не авторизован.

Это разумный подход? Есть ли недостатки в этом?

Я не хочу иметь AuthorisationService, который по существу содержит кучу статических процедурно-кодированных правил для этого, но, возможно, имеет смысл хранить всю логику доступа в одном месте. Является ли это сквозной проблемой, которую следует хранить отдельно?

Поэтому я спрашиваю, сделал ли кто-нибудь это и как они добились этого чистым способом или есть ли какие-нибудь хорошие ресурсы, которые я мог бы прочитать. Я использую Java fwiw, но это не зависит от языка.

Я проверил соответствующие вопросы здесь, и они очень тонкие на земле и ответы. Например: проверка и авторизация в доменных моделях и перенос через сервисный уровень в MVC

Я читаю весенние документы по безопасности, которые приводят некоторые веские аргументы в пользу того, что это междисциплинарная проблема, но я боюсь, что это всего лишь «весенний путь» и хотел бы иметь более широкие перспективы. Это также связывает ваше приложение с конкретной структурой.

Рекомендуется выставлять только те параметры, на которые авторизован пользователь.

Это заставляет разрешение быть сквозной проблемой. «Представление» должно знать, что пользователю разрешено делать, прежде чем он сможет создавать параметры и меню для отображения.

Серверная часть не должна доверять интерфейсной части для принятия решений по безопасности, поэтому должна проверять саму авторизацию.

Могут существовать бизнес-правила, которые влияют на авторизацию в зависимости от данных, например, «Только пользователи с балансом более 5000 долларов США могут осуществлять перевод в иностранной валюте» или «Только пользователь, расположенный в головном офисе, может просматривать эти учетные записи». Поэтому в бизнес-логике требуется некоторая логика авторизации.

Существуют также технические полномочия для рассмотрения - кому разрешено просматривать журналы, кто может выполнять резервное копирование / восстановление базы данных и т. Д.

Таким образом, в конце концов, каждый ваш компонент может иметь определенные требования к безопасности и / или авторизации, на практике практически невозможно обернуть это в отдельный «уровень авторизации».

Я думаю, что это абсолютно разумный подход к внедрению авторизации на вашем уровне обслуживания. Вы должны защитить свой сервис от несанкционированных действий (особенно изменений данных). Ваш уровень сервиса может находиться в одной библиотеке и использоваться разными уровнями презентации (у вас могут быть разные UI-приложения, использующие один и тот же уровень сервиса). И вы не можете полагаться на тот факт, что определенные слои презентации выполняют необходимую проверку. Это особенно важно, если впоследствии вы решите переместить уровень обслуживания в отдельный процесс (например, следуя подходу SOA).

Теперь о том, как этого добиться «чистым способом». Мне не нравится идея засорять бизнес-логику проверками авторизации, поэтому может помочь некоторая конкретная реализация подхода аспектно-ориентированного программирования: это может быть украшение методов службы специальными атрибутами или использование динамических прокси с перехватами.

И что важно, я должен признать, что в очень простых проектах, возможно, вы могли бы жить без отдельных проверок, просто чтобы упростить свою жизнь. Но важно не упустить момент, когда «простой проект» стал превращаться в «сложный проект».

Мне нравится опускать авторизационные проверки настолько низко, насколько это возможно! (Но не дальше!)

Вы все еще можете писать автоматические тесты авторизации для слоев "выше" этого. А некоторые правила могут быть применимы или иметь смысл только на более высоких уровнях, таких как уровень обслуживания (CanView / CanSerialize?). Но, как правило, я считаю, что самой безопасной стратегией авторизации является также стратегия «DRY-est»: держите авторизацию как можно ниже, в самом «общем» или «общем» коде, насколько это возможно (без чрезмерного усложнения правил аутентификации).

Подумай об альтернативе. Если ваши правила авторизации тестируются и применяются только на уровне сервиса, и ваши плохие доменные объекты подчиняются воле ненадежных сервисных объектов, вам часто придется применять каждое отдельное правило более одного раза, в нескольких объектах и ​​нескольких места в каждом объекте и в более сложном коде.

Кроме того, когда ваша аналитическая команда нанимает консалтинговую фирму для написания отчетов с использованием ваших доменных объектов, вам не нужно доверять этим разработчикам! (Или что угодно. Вы создаете дополнительные сервисы или звонки на одни и те же объекты для любого Вы не хотите , чтобы взломать большую книгу бизнеса - правила и разума.) Надежд для обеспечения соблюдения этих правил должным образом снова ; Вы хотите, чтобы ваш домен уже знал их и применял их.