小编Cyr*_*lle的帖子

我想在 Orion Context Broker NGSI API 级别提供访问控制，以确保真正的数据隔离。我想确保租户只能查询/更新他们的上下文，而不能查询/更新其他租户的上下文。

为此，我开始在 Orion Context Broker 前面放置一个Wilma PEP Proxy实例。然后，我根据官方IdM Keyrock docker映像配置了自己的 Identity Manager keyrock GE 实例，并根据官方AuthzForce docker 映像配置了自己的 Authorization PDP GE 。

经过几天的配置和多次尝试，我终于可以让这三个安全通用启用器正常工作，使用PEP 代理级别 2对 Orion Context Broker NGSI API 的请求进行身份验证和授权。

但是，2 级授权不足以保证我想要的，因为服务（租户）和子服务（应用程序路径）信息都在请求的标头中。特别是在Fiware-Service 和Fiware-ServicePath 标头中。为了构建基于标头的授权策略，您需要使用级别 3：XACML 授权。

问题是我在 Fiware 的官方文档中进行了一些挖掘，但找不到任何 XACML 策略的示例。除了 Wilma PEP Proxy 的官方文档（请参阅此处）外，您可能必须修改 PEP Proxy 源代码才能获得此级别的授权。

由于这种情况被认为是检查请求的高级参数，例如正文或自定义标头，因此这取决于具体的用例。因此，程序员应该修改 PEP 代理源代码以包含特定要求。

有这样可能吗？

我真的需要修改 PEP 代理源代码来实现像租户只能访问他的数据这样简单的事情吗？

我将使用 OAuth2 和 XACML（使用 AuthZForce、Balana、AT&T XACML 或类似的东西）来保护我的 Spring Cloud 应用程序。

我想使用 Spring-Cloud(-Netflix) 的微服务。为了使 XACML 可用，我认为我需要这个：

1. 每个现有 API 服务的 PEP
2. PDP 作为新服务，由 PEP 使用。因为Spring-Cloud(-Netflix)具有负载均衡功能(Eureka)，所以我需要在Eureka上注册该服务并实现REST-API。
3. 由于所有 PDP 应使用相同的策略，因此需要集中存储它们（策略提供者）

哪种框架最适合这种方法。

update 1 AuthZForce 应该可以（根据功能描述），但我不太确定如何（没有详细的文档或教程）。

目前，我尝试通过Keycloak的Admin REST API从curl命令创建用户。我可以以管理员身份进行身份验证，我的回答很好，但是当我要创建用户时，会出现类似“ 404-Not Found”的错误。

这是我的curl命令：

#!/bin/bash

echo "* Request for authorization"
RESULT=`curl --data "username=pierre&password=pierre&grant_type=password&client_id=admin-cli" http://localhost:8080/auth/realms/master/protocol/openid-connect/token`

echo "\n"
echo "* Recovery of the token"
TOKEN=`echo $RESULT | sed 's/.*access_token":"//g' | sed 's/".*//g'`

echo "\n"
echo "* Display token"
echo $TOKEN

echo "\n"
echo " * user creation\n"
curl   http://localhost:8080/apiv2/users -H "Authorization: bearer $TOKEN"   --data '{"firstName":"xyz","lastName":"xyz", "email":"demo2@gmail.com", "enabled":"true"}'

我使用了位于以下地址的官方API文档：https：//www.keycloak.org/docs-api/4.4/rest-api/index.html

我有这个错误：

我的境界很好

我该如何解决？提前致谢。