Danke dafür, wäre evtl. ein DAPS (Dynamic Attribute Provisioning Service) ein Standardisierungsansatz? Im Wesentlichen ist der Ansatz wohl, OAuth2 zu nutzen, aber die Größe der JWT Tokens auf das zu reduzieren, was gerade gefragt ist, und die dafür nötige Kontextualisierung in eine Dienst auszulagern... Glaube ich
Protokoll nicht wirklich, aber wir aus dem dotnet-Lager haben ja IdentityServer als Framework dafür. Aus der Theorie kennt man ja die beiden Prinzipien 'Discretionary Access Control' und 'Mandatory Access Control', was wohl zuerst in Betriebssystemen eingesetzt wurde.
[gr] Ich habe mich nie näher mit dem Identity-Server beschäftigt, aber ich dachte immer, der wäre nur für Authentifizierung zuständig - war wohl falsch gedacht 😉
Ich frage mich an dieser Stelle wie sinnvoll ein Standard dafür ist. Ich habe einen Fall in dem der Kunde feature-spezifische Berechtigungen in einer bestimmten Domain festlegen kann. Abfragen während der Laufzeit ausserhalb dieser Domain (bzw. Microservice) zu tätigen, macht für mich nicht nur aus Gründen der Performance und Code-Komplexität wenig Sinn. Ich denke hier befinden wir uns an einer Schwelle von sinnvoll zu "zu komplex und zeitraubend bzw. sinnlos" für eine Standardisierung, da die Authorisierungs-Logik oft business-spezifisch und dehalb pro (Micro-)Service anders ist. Auch das zentrale AccessMgmt bei AWS finde ich z.B. zu umständlich. Hier wäre es mir lieber wenn man einzelne Rollen auf einzelne Features oder Resourcen in den entsprechenden Domains feingranular Berechtigen könnte, anstatt dies im AccessManagement zentral zu machen. Schon der Kontext-Wechsel im UI nervt mich extrem, sofern man das übers UI machen möchte.
Vielend Dank für das Wissen welches Du sehr gerne teilst und die super Kommentator*innen. 👍
Danke dafür, wäre evtl. ein DAPS (Dynamic Attribute Provisioning Service) ein Standardisierungsansatz? Im Wesentlichen ist der Ansatz wohl, OAuth2 zu nutzen, aber die Größe der JWT Tokens auf das zu reduzieren, was gerade gefragt ist, und die dafür nötige Kontextualisierung in eine Dienst auszulagern... Glaube ich
[gr] Danke für das Teilen der Idee, muss ich mir mal näher anschauen … 😊
Protokoll nicht wirklich, aber wir aus dem dotnet-Lager haben ja IdentityServer als Framework dafür.
Aus der Theorie kennt man ja die beiden Prinzipien 'Discretionary Access Control' und 'Mandatory Access Control',
was wohl zuerst in Betriebssystemen eingesetzt wurde.
[gr] Ich habe mich nie näher mit dem Identity-Server beschäftigt, aber ich dachte immer, der wäre nur für Authentifizierung zuständig - war wohl falsch gedacht 😉
Hi, gibt es hier inzwischen ein Update bezüglich des Standards?
Ich frage mich an dieser Stelle wie sinnvoll ein Standard dafür ist. Ich habe einen Fall in dem der Kunde feature-spezifische Berechtigungen in einer bestimmten Domain festlegen kann. Abfragen während der Laufzeit ausserhalb dieser Domain (bzw. Microservice) zu tätigen, macht für mich nicht nur aus Gründen der Performance und Code-Komplexität wenig Sinn. Ich denke hier befinden wir uns an einer Schwelle von sinnvoll zu "zu komplex und zeitraubend bzw. sinnlos" für eine Standardisierung, da die Authorisierungs-Logik oft business-spezifisch und dehalb pro (Micro-)Service anders ist. Auch das zentrale AccessMgmt bei AWS finde ich z.B. zu umständlich. Hier wäre es mir lieber wenn man einzelne Rollen auf einzelne Features oder Resourcen in den entsprechenden Domains feingranular Berechtigen könnte, anstatt dies im AccessManagement zentral zu machen. Schon der Kontext-Wechsel im UI nervt mich extrem, sofern man das übers UI machen möchte.