HackMD
tags: keycloak Tool
身份驗證與授權與Keycloak
一、關於身份驗證與授權
身份驗證和授權是系統安全性非常重要的環節。身份驗證用於識別使用者是誰,而授權則賦予使用者某些特定權限。更具體來說,這整個過程可以分為四個部分:
-
身分識別 (Identification):這是一個讓系統知道你是誰的過程。例如,當你使用用戶名或電子郵件地址登入系統時,就是進行身分識別。
-
身分驗證 (Authentication):這個過程讓系統確認你確實是你聲稱的那個人。通常是通過輸入密碼、使用FaceID或OTP來完成的。
-
授權 (Authorization):這涉及到角色分配。根據你的角色,系統會賦予你不同的權限。例如,一個“編輯者”角色可能有編輯內容的權限,而一個“閱讀者”角色則只能閱讀。
-
存取控制 (Access Control):這涉及到具體的操作權限。比如,在一個IT管理系統中,一個普通使用者可能可以重啟伺服器和查看系統日誌,但不能部署新的程式碼。然而,一個開發者則可能有這樣的權限。
在你登入系統,輸入帳號密碼為身分識別與身分驗證,系統驗證完後,會根據身分授予角色。至於此角色權限則可以在後台系統上設置。至於這部分的詳細實做概念牽扯還是蠻多的…會再找時間針對這部分做一個細部講解。
1. 身分識別驗證與授權簡易實作
了解這些基礎概念後,我們可以考慮如何手動實現這四個部分。
-
身分識別 (Identification) : 最常見的實現方式是透過一個使用者註冊頁面,讓使用者輸入基本資料,例如用戶名和密碼。這些信息會被存儲在後端的資料庫中(密碼會被加密)。
-
身分驗證 (Authentication) : 驗證的方法有多種。
- 密碼驗證 : 簡單地說,就是將輸入的密碼與資料庫中存儲的密碼進行比對。
- 多因素驗證 : 二次驗證,例如OTP、FaceID,或是手機&Mail驗證
- Session/Token管理 : 用戶登入後,系統會生成一個session或token並發送給用戶。後續的所有請求都需要這個token以確認身份。
-
授權 (Authorization) : 這部分簡易實作基本上會有三部份
- 角色管理:在資料庫中設計一個角色和權限的模型。例如,每個使用者可以有一個或多個角色,每個角色有不同的權限。
- 權限檢查:每次使用者請求某個資源或操作時,檢查他們的角色是否有相應的權限。
- API設計:設計API時,確保每個API端點都有適當的授權檢查。
-
存取控制 (Access Control)
- 基於角色的存取控制 (RBAC):根據使用者的角色決定他們可以訪問的資源。
- 細緻的權限設定:允許系統管理者為每個角色定制細緻的權限,例如某角色只能讀取資料但不能編輯。
-
其他考慮
- 日誌和監控:記錄所有的登錄嘗試、授權請求等,以便日後分析和審計。
- 資料庫安全性:確保資料庫有適當的加密和備份策略。
- 定期檢查和更新:隨著時間的推移,可能會出現新的安全威脅。定期檢查和更新你的身份驗證和授權策略,以確保它們始終是安全的。
2. 身分識別驗證、授權與Keycloak
通過使用Keycloak,我們能夠更為高效地實現身分識別、身分驗證、授權,以及存取控制等功能。
-
身分識別 (Identification)
- 不僅提供使用者註冊功能,讓使用者可以用基本資訊,比如用戶名或電子郵件進行註冊,還支持多種社交登入方式,如Google或Facebook。
-
身分驗證 (Authentication
- 支援多種身分驗證方法,包括密碼、OTP、FaceID等,也提供Token管理,當使用者成功登入後,Keycloak 會發放一個 token,使用者可以使用此 token 來存取其他受保護的資源。
-
授權 (Authorization)
- 可以定義多個角色,並為每個角色分配不同的權限,使用者可以被分配到一個或多個角色,這些角色決定了使用者可以訪問哪些資源。
-
存取控制 (Access Control)
- 支援基於角色的存取控制 (RBAC)。你可以設定哪些角色可以訪問哪些資源。
一般來說,要全面實施這四大功能通常需要大量的時間和資源。開發者不只需要寫大量的程式碼,還必須維護系統的安全性、效能,並確保與其他系統的良好整合。有了Keycloak,這一切都變得相對簡單。
