client credentials grantを利用できるように #2433
Conversation
| var clientPerms = []permission.Permission{ | ||
| permission.GetUser, | ||
| permission.GetUserTag, | ||
| permission.GetUserGroup, | ||
| permission.GetStamp, | ||
| } |
There was a problem hiding this comment.
knoQで使いたいのでGetUsersやGetUserGroupsがあると助かります:pray:
Draftで仮置きしてるだけかもですが
There was a problem hiding this comment.
少なくない?そんなことない?
自身のユーザーに関連しないものは許可してよさそう
https://github.com/traPtitech/traQ/blob/master/service/rbac/role/read.go
There was a problem hiding this comment.
There was a problem hiding this comment.
うーん、なるほど あまりきめ細やかに制御されてなくて難しいんですね
そうしたらその権限の制御のやり方を考え直す(より細やかにする)か、client credentials grantにそもそもユーザーをどうにかして紐づけるか、とかを考えたいところですね
少なくとも今やらない(できなかった)のなら、その理由をコメントとかで書いておくべきだと思います
|
client credentials grantによって必ずしもhandlerの中でcontextにUserInfoが入ってるとは限らなくなり、入っていない状態でアクセスしようとしたらpanicが起きてしまう。 c.Get(consts.KeyUser).(model.UserInfo)を関数化してアサーションに失敗したらエラーを返した上で利用側でハンドリングした方がよいかもしれない イメージ func GetUser(ctx echo.Context) {
user, ok := c.Get(consts.KeyUser).(model.UserInfo)
if !ok {
return model.UserInfo{}, UserKeyError
}
return user, nil
}ただし影響範囲が大きくて大変そう。また、現状は上記のようなユーザー情報の取得が発生しないAPIのみにアクセス可能なようにclient credentials grantで付与するpermissionを絞っているので、上記の対応はしなくてもよいかも |
| @@ -48,6 +48,11 @@ func GetSystemRoles() Roles { | |||
| oauth2Scope: true, | |||
| permissions: permission.PermissionsFromArray(profilePerms), | |||
| }, | |||
| Client: &systemRole{ | |||
There was a problem hiding this comment.
新しくrbacのロールとpermission一覧を更新するときはmigrationが必須です
There was a problem hiding this comment.
対応issue: #2403
client credentials grantを利用できるように
issueに記載の通りこのflowではトークン(テーブル)のuserIDがNilなので、middlewareでuser情報は取れず、contextに入れることができないことに注意。client credentials grantのフローで取得したトークンを利用したAPIアクセスの中でcontextからUserを参照使用してたらpanicが起こる。
許可するpermissionは、handler中でuser情報をcontextから取得するようなものは扱えないことを前提として選択
(ユースケース的にはユーザー情報、ユーザーのグループ情報の取得が挙がっていて、そちらは対応可能だと思われる。)