什么是授权？

基于 GitLab 人员提供的其产品机构的出色文档，我们的服务将从一个恰当的架构开始。 如果这看起来很复杂 —— 不要担心！ 当我们谈到架构中的授权时，我们将会逐层剥开复杂的地方。

上面的图表包含我们架构的主要部分。 gitclub.dev 会处理三种不同类型的流量：

所有的请求都连接到一点：代理，之所以这样命名是因为它代表（”代理“）网络服务器。 代理会将连接重定向到正确的位置。 在一个完整的系统中，代理可以由许负载均衡认证代理等多个部分组成。

Website 和 API 可以访问（DB），其中保存了用户账户数据等信息。

API 和 Git 连接将会访问存储 Git 仓库的文件系统（FS）。

对于认证（提醒：请参阅认真与授权简介），我们的 Web 应用将使用简单的用户名和密码的机制来处理用户身份验证。

在初始身份验证后，Web 应用将会向用户返回一个令牌，以便在后继的请求中他不再需要再次提交密码。 Web 应用还允许用户创建 API 令牌用于 API 应用与之交互。 这些令牌都是 ”Bearer tokens“ —— 授予令牌持有者访问权限的轻量级令牌。

Git 服务与 Web 应用使用相同的用户名和密码对进行身份验证。

旁白: 单体 VS 微服务

我们示例的架构非常单体。 我们只有几个应用在运行。 对于微服务，我们会在遇到它们时之处一些差异，我们将在第六章：认证与微服务中进行深入探讨。

在系统中，我们有许多 Git 仓库 。

组织 允许分组对仓库的访问。 一个组织（比如一个公司，或一个开源工作组）会拥有许多仓库。 每个组织可以拥有许多用户。

一个人被表示为一个 用户 。 一个用户可以是多个组织的成员。

跨越我们的系统，我们想要执行一个授权规则： 只有当一个用户是拥有仓库的组织的成员时才可以访问仓库。

我们将会在之后添加更多规则！

首先，用户的浏览器与我们的外部代理建立连接。

是谁发起的这个请求？

我们还不知道发出请求的用户的身份。 要做到这点我们需要将令牌从请求中取出。 或许我们知道他的IP地址。

他要做什么？

开启 TLS 连接。

他要对什么进行操作？

主机: gitclub.dev 的 443 端口。

我们还没有进行应用授权，但可以在这里做一些网络级别的授权。 可能我们有一个IP地址的放行列表或者甚至需要双向 TLS（虽然这https://twitter.com/colmmacc/status/1057017343438540801[有些争议]）。

代理被配置为根据需要将流量重定向到 Web、API 和 Git 服务器。 这三者最终都需要进行一定的用户身份认证。 正如我们之前所说，认证是用户名/密码对或 Bearer 令牌。

如果我们有许多下游服务需要进行身份认证，那么添加身份认证代理会更有价值。 例如，Web 应用和 API 应用都需要令牌才能访问大多数路由。 如果我们在代理中处理令牌，那么我们可以执行以下授权：

是谁发起的这个请求？

代理验证请求中的令牌，其中可能含有用户有关的信息。 例如，我们可能使用和 JSON Web Token（JWT）中非常相似的 JSON 编码的数据。

假设我们解码后的令牌像这样：

然后我们知道了用户是”alice@acme.org“。

他想做什么？

通过检查 HTTP 请求，我们可以了解到用户发出了一个 GET 请求。

他要对什么进行操作？

再一次通过检查 HTTP 请求，URL 是 /acme/anvil。

我们可以根据我们所知道的进行授权吗？

这取决于我们想要执行什么样的授权。 只提供请求中存在的信息，我们只能进行路由级别的授权。 是否允许 “alice@acme.org” 向 /acme/anvil 发出 GET 请求？

关于用户我们唯一的信息是他的邮箱地址。 所有用户可以向 /<owner>/<repository> 这种形式的路径发起 GET 请求，所以请求是允许的。

但如果我们想要强制执行所有要求 —— 用户必须和仓库在同一个组织中 —— 那么我们没有足够的信息进行判断。 怎样才能获得这些信息？ 我们可以考虑像令牌中添加越來越多的信息。 或者我们可以配置我们的代理去访问数据库。 这种方法为代理引入了相当的复杂性并重复了数据库访问的逻辑。

但是代理是解决授权临近问题的理想选择之处，例如限制用户访问频率、 需要 API 密钥或进行认证以及扫描可能你会在 Web应用防火墙（WAF）中发现的恶意负载。

我们已经介绍了代理！ 让我们转到网站和数据库。

最终，我们经过认证的请求到达 Web 应用的路由，由路由决定如何进行处理此请求。 此时通常将请求中间件中提供的身份转换为从数据库获取的数据模型。

是谁发起的这个请求？

假设认证中间件已经将请求中提供的用户身份转换为用户对象， 这让我们可以访问我们想要知道的用户有关的所有信息。

他想做什么？

我们仍然在使用 HTTP 请求对象，并且 HTTP 方法是 GET。

他要对什么进行操作？

这里我们仍旧只有请求对象和路径：“/acme/anvil”。

由于我们现在可以访问应用程序数据，所以我们可以查看相关信息。 例如，我们可以使用现有逻辑来查找 /acme/anvil 对应的组织， 判断我们的用户是否属于改组织。

然而，这几乎正是我们下一步在控制器层需要做的事情。 控制器将接受请求，查询数据，执行任何必要的数据操作并应用业务逻辑。

所以，如果我们在中间件中通过这种方式进行授权， 我们最终会重复逻辑并有可能会产生对数据库的重复调用。

有一些场景在这一层进行授权是有意义的：

Web 路由将 GET /acme/anvil 映射到我们的控制器方法上。 假设这个方法是 view_repository(owner: "acme", name: "anvil")。

在这个方法中，我们负责整理现实 /acme/anvil 网页所需的数据并将这些数据传给视图。 在 GitClub 中，我们喜欢坚持书写简单明了的代码，所以我们对我们的页面进行简单的服务端渲染。 所以我们获取 UI 所需的所有数据并为用户渲染模板。

在不设计太多细节的情况下，我们的仓库视图大致包括一些源码、问题、合并请求、贡献者等，以及一些仓库自身相关的基础信息。

最终向用户展示的所有数据都应该获得授权。 他能首先看到存储仓库吗？ 页面上的所有其他附加数据那？

是谁发起的这个请求？

在上一步中，我们可以假设用户对象已经被获取为认证中间件的一部分了。

他想做什么？

查看仓库页面并访问仓库信息。 在控制器方法中，我们拥有用户正在做什么的完整上下文。

他要对什么进行操作？

无论如何我们从数据库检索出仓库 acme/anvil 都是方法的一部分。 最终，我们就像拥有了我们一排的所有鸭子。 我们拥有所有需要的数据并且我们精确的知道用户想要做什么。 anvil 仓库属于 acme 组织，并且当前用户是这个组织的成员， 所以是的！我们应该让他读取这些数据。

稍等，还有!

那用来渲染视图的所有辅助数据那？ 仓库成员、问题、提交等。 所有这些都显示给用户吗？

好吧，我们确实可以根据需要进一步进行访问控制决策。 我们可以访问所有相关信息并且我们知道我们尝试代表用户获取那些数据。

在这里我们还可以做的更多。 假设我们知道用户没有权限来配置仓库的设置，因为他不是仓库的管理员。 也就是说我们可以把这一信息返回给视图渲染器，这样渲染器就可以在页面上隐藏相关的选项了。 我们会在后边的章节中介绍更多相关内容。

如果用户没有查看仓库的权限，那么我们也处在一个渲染一个视图来显示帮助信息或返回一个 “Forbidden” 响应的合适位置。

这是我们最后一个可以进行授权的地方了： 当从数据库获取数据时。 在此操作的几个地方我们可以考虑授权：通过 SQL 请求自身（或许通过一个中间件或查询代理），甚至可能在数据库中。

是谁发起的这个请求？

我们可能会在查询上下文中包含用户相关信息。

他想做什么？

执行一个 SQL SELECT 语句。

他要对什么进行操作？ * 他这对什么进行操作？

使用 name = "acme/anvil" 过滤仓库表。

我们现在处于数据访问层 所以我们需要在数据库连接/请求或数据库查询中包含任何需要的应用上下文。

记住我们想要强制执行的逻辑：

如果用户和仓库归属于同一组织，那么用户可以读取仓库。

数据访问层是执行此操作的理想位置因为我们的规则可以被轻松的表示为一个 SQL 请求。 在这种情况下，当在仓库表上执行一个 SELECT 语句，我们可以和组织成员表进行关联并且只选取和用户在同一组织下的仓库。

例如，如果原始请求像下面这样：

然后应用授权后会变成这样：

这种方式的优点是他允许你不知是回答是/否授权请求。 例如，你可以使用同样的过滤器列出一个用户可以在其主页上看到的所有仓库。

这里的挑战是如何生成用于授权的查询过滤器，而不需要重复构建和管理 SQL 语句的逻辑， 否则我们可能会在应用程序中处理这些逻辑。 因此，通过使用应用中其他地方的相同机制来实现授权过滤器是最有意义的。

当许多人开始时，他们不会将“实现授权”作为单独的开发步骤。 他们只是按需在他们的应用代码中添加看上去需要的检查。 这种情况如此普遍的原因是因为逻辑在才开始的时候感觉很简单。 甚至你都不会注意到它。 例如，你可能使用用户 ID 或仓库 ID 作为数据库查询的一部分来过滤所有仓库。 因为应用程序上下文就在那里，所以很容易以这种方式实现它。

这很快就会变得困难。 随着你需要进行授权的地方数量的增加，最终你会重复相同的逻辑。 之后再进行任何修改都需要我们记住我们重复逻辑的每个地方。

在我们之前的例子中，我们限制用户只有当其是 Acme 组织的成员时才能在页面上看到 /acme/anvil 仓库 。 同样的逻辑适用于 /acme/anvil/issues 和 /acme/anvil/members 等子页面。 处理这些页面的每个方法都需要重复相同的逻辑。

现在假设我们添加一个允许邀请组织外部的用户在特定仓库上进行协作的新功能。 我们现在需要将这一检查添加到我么的授权处理程序中，在这一天真的案例下这意味着需要修改每个处理仓库页面的方法。

我们在上面的示例部分中看到，我们通常可以将授权决策构建为：

在关于授权的书面用于中，它们每一个都有一个正式术语。

“谁”被称为 actor 。 在许多用例中，actor 只是应用的一个用户。

“他在尝试做什么”通常归结为一个简单的动词。 例如，create、read、update、delete（CRUD）这在 API 中很常见。 我们称这些为 动作 。

“他要对什么进行操作”指资源。 这可以是应用中的特定对象 —— 在 GitLab 中，可以是仓库或组织等。

这个三元组（有各种名称）在授权系统中经常使用。 例如，在 Microsoft Azure 的文献中使用“Security Principal”，“Action”，“Resource”。

将这种结构引入您的应用程序的好处是双倍的。 首先你可以使用一致的语言来讨论授权，不论是简单的还是复杂的用例。 Actor 可以是简单的用户，但也可以是表示一个将自己权限代理给另一个用户的用户的第三方应用程序。

其次，其提供了一个干净的界面作为开始。 一个简单的授权接口接受一个三元组（Actor、Action、Resource）并对输入返回允许或拒绝的授权决议。

到目前为止，我们主要关注的是我们可以在那里“应用”授权， 这指的是评估输入请求、提取相关信息、将其与附加数据查找相结合、实施规则和检查的整个过程，甚至包括按权限过滤数据。

其中包含两个重要部分：执行和决定。 授权接口是这两部分的界限。

假设我们的接口是方法 is_allowed(actor, action, resource) ，他会被我们之前谈到的输入调用，例如， is_allowed(current_user, "read", Repository(name: "acme/anvil")) 。

施行是我们决定如何处理授权决议的方式。 这意味着要像我们之前的示例中看到的那样从请求中提取 actor、action 以及 resource 并调用 is_allowed 方法。

在 GitClub 中，如果用户没有读取 /acme/anvil 存储库的权限，我们可以使用 HTTP 403 Forbidden 响应进行响应，或者将用户重定向到不同的页面。 其他执行相关的例子包括使用数据库过滤器来限制对整个数据集合的访问。

决策是我们如何实现认证接口： 给定输入的三元组（actor, action, resource），我们返回一个结果。 在我们之前的示例中，决策是：允许用户访问此仓库，因为 acme/anvil 在 acme 组织中，并且用户是改组织的成员。

决策不一定需要是二进制的是/否，但可能进一部依赖与其他时间或检查，或者具有其他影响，比如发出一个警告。

当我们谈到需要在应用程序或数据库层进行授权时，这主要是指执行授权。 我们将在未来的指南中介绍有关执行授权的选项。 但决策是一个单独的部分并且可以在不同的地方实现。

做出授权决策需要两块信息，数据和逻辑：

有两种进行授权决策的不同形式：集中式和分散式。 在集中式中，授权决策被代理给一个可以提供对必要数据进行访问并将授权逻辑作为输入的中心权威。 在分散式中，应用使用已经可访问的数据自己进行授权决策。

还有第三种方法，混合式，他采用分散式，但使用于有多个服务和应用的系统。

我们将在这里结合实际案例介绍这三种方案。

总之，有几种不同的方法来做出授权决策：