Implementazione dell'autorizzazione in Amazon Verified Permissions

Controlla l'accesso degli utenti alla UX della tua applicazione. Puoi consentire a un utente di visualizzare solo i moduli, i pulsanti, la grafica e le altre risorse esatte a cui deve accedere. Ad esempio, quando un utente effettua l'accesso, potresti voler determinare se il pulsante «Trasferisci fondi» è visibile nel suo account. Puoi anche controllare le azioni che un utente può intraprendere. Ad esempio, nella stessa app bancaria potresti voler determinare se il tuo utente è autorizzato a modificare la categoria di una transazione.

Controlla l'accesso degli utenti ai dati. Le applicazioni fanno spesso parte di un sistema distribuito e importano informazioni dall'esterno APIs. Nell'esempio dell'app bancaria in cui Verified Permissions ha consentito la visualizzazione del pulsante «Trasferisci fondi», è necessario prendere una decisione di autorizzazione più complessa quando l'utente avvia un trasferimento. Verified Permissions può autorizzare la richiesta API che elenca gli account di destinazione idonei al trasferimento, quindi la richiesta di inoltrare il trasferimento all'altro account.

L'operazione IsAuthorized API è il punto di accesso alle richieste di autorizzazione con autorizzazioni verificate. È necessario inviare gli elementi principali, di azione, di risorsa, di contesto ed entità. Verified Permissions convalida le entità contenute nella richiesta rispetto allo schema del policy store. Verified Permissions valuta quindi la richiesta rispetto a tutte le politiche nell'archivio delle politiche richiesto che si applicano alle entità incluse nella richiesta.

L'IsAuthorizedWithTokenoperazione genera una richiesta di autorizzazione dai dati utente nei token web JSON (). JWTs Verified Permissions funziona direttamente con provider OIDC come Amazon Cognito come fonte di identità nel tuo archivio di politiche. Verified Permissions compila tutti gli attributi del principale contenuto nella tua richiesta utilizzando le attestazioni contenute nell'ID o nei token di accesso degli utenti. È possibile autorizzare azioni e risorse dagli attributi degli utenti o dall'appartenenza a gruppi in una fonte di identità.

Non è possibile includere informazioni sui tipi principali di gruppi o utenti in una IsAuthorizedWithToken richiesta. È necessario inserire tutti i dati principali nel JWT fornito.

L'BatchIsAuthorizedoperazione elabora più decisioni di autorizzazione per un singolo principale o risorsa in un'unica richiesta API. Questa operazione raggruppa le richieste in un'unica operazione batch che riduce al minimo l'utilizzo delle quote e restituisce le decisioni di autorizzazione per ciascuna delle 30 azioni annidate complesse. Con l'autorizzazione in batch per una singola risorsa, puoi filtrare le azioni che un utente può eseguire su una risorsa. Con l'autorizzazione in batch per un singolo principale, puoi filtrare in base alle risorse su cui un utente può intervenire.

L'BatchIsAuthorizedWithTokenoperazione elabora più decisioni di autorizzazione per un singolo principale in un'unica richiesta API. Il principale viene fornito dalla fonte di identità del Policy Store in un ID o token di accesso. Questa operazione raggruppa le richieste in un'unica operazione batch che riduce al minimo l'utilizzo delle quote e restituisce le decisioni di autorizzazione per ciascuna delle 30 richieste di azioni e risorse. Nelle vostre politiche, potete autorizzare il loro accesso dai loro attributi o dalla loro appartenenza al gruppo in una directory di utenti.

Ad esempioIsAuthorizedWithToken, non è possibile includere informazioni sui tipi principali di gruppi o utenti in una BatchIsAuthorizedWithToken richiesta. È necessario inserire tutti i dati principali nel JWT fornito.