RBACX — что изменилось за полгода: от простого RBAC/ABAC до ReBAC с ИИ-генерацией политик

Полгода назад написал первую статью про RBACX — RBAC/ABAC-движок авторизации для Python. С тех пор вышло 25+ релизов, и библиотека стала заметно мощнее: добавил ReBAC с поддержкой OpenFGA и SpiceDB, пакетную проверку прав, ИИ-генерацию политик из OpenAPI-схемы, Redis-кэш, async Django, шортхэнд для ролей и закрыл три security-бага. Рассказываю что, зачем и как это вообще делается в одного.

https://habr.com/ru/articles/1019690/

#python #rbacx #rbac #abac #pdp #security #REBAC #authorization

All Boxes Are Comfy

#ABAC #caturday #caturdayeveryday

Authorization без middleware: как я завернул Casbin в декораторы для FastAPI

Когда в FastAPI-проекте появляется нормальная авторизация, код быстро начинает расползаться в стороны. Сначала все выглядит терпимо: один Depends(get_current_user) , один Depends(get_enforcer) , одна ручная проверка. Потом роутов становится больше, правил доступа становится больше, и внезапно половина endpoint’ов начинает содержать не бизнес-логику, а обвязку вокруг нее. В какой-то момент меня перестал устраивать и классический подход через dependency injection в каждом роуте, и вариант с middleware. Хотелось, чтобы правило доступа было видно прямо рядом с маршрутом, но при этом не приходилось таскать авторизацию в сигнатуры всех функций. В итоге я собрал casbin-fastapi-decorator — тонкий слой над Casbin для FastAPI, который позволяет описывать authorization через декораторы. Идея простая:

https://habr.com/ru/articles/1018670/

#FastAPI #Python #Casbin #авторизация #rbac #abac #декораторы #api #open_source

Продвинутый RBAC: роли, статусы, теги без боли и страданий

Сегодня детально расскажу про сердце JMatrixPlatform - статусно-ролевой доступ к данным. Э то основа платформы, доступная сразу "из коробки", которая реализует продвинутый RBAC с привязкой прав к статусам объектов. Вы не найдёте в общем доступе внятного и современного описания такой методологии, тем более с примерами реализации "из коробки", а это означает, что сегодня очередной эпизод погружения в Области тьмы ИТ , куда не заглядывают модные фреймворки.

https://habr.com/ru/articles/1017810/

#jmatrixplatform #управление_доступом_к_данным #управление_доступом #rbac #статусноролевая_модель #abac #жизненный_цикл_объекта #keycloak #plm #импортозамещение

STAC — знакомство: Браузеры, API и управление доступом к пространственным данным (часть 3)

В первых двух статьях мы разобрали основы спецификации STAC (SpatioTemporal Asset Catalog), её объектную модель и философию, превращающую разрозненные архивы геоданных в единую, машиночитаемую «библиотеку». Мы увидели, как STAC описывает каталоги (catalog), коллекции (collection), элементы (item) и их ресурсы (assets), создавая универсальный язык для работы с геопространственной информацией. В комментариях были затронуты две темы, которые просили рассмотреть в новых статьях — семантическая паутина и универсальные браузеры, которые требуют постепенного перехода от теории к практике. Действительно, какая польза от идеально структурированного каталога, если с ним неудобно или невозможно работать? Поэтому, прежде чем углубиться в онтологии, мы рассмотрим инструменты взаимодействия с STAC. Эта статья посвящена клиентской стороне экосистемы — STAC-браузерам, а также ключевому аспекту их работы в корпоративной среде — безопасному доступу к данным через STAC-API. Мы разберём, как устроен универсальный браузер, и представим нашу реализацию стека STAC-сервера с распределённой системой управления доступом IAM (Identity and Access Management), где каждый запрос, от просмотра метаданных до скачивания тайла, проходит через цепочку авторизации.

https://habr.com/ru/articles/1009110/

#STAC #GeoJSON #item #catalog #collection #GeoTIFF #assets #IAM #ABAC #RBAC

We've had #acab regarding police for some time. I would like to propose a new, slightly different one for billionaires, especially those moaning about how hard the world is on them:

#abac standing for all billionaires are [pick the word beginning with c that you are most comfortable with; depending on who I'm speaking with, this might be clown, cad, the swear word, or something else]
https://aus.social/@feather1952/115602463876046024

RBACX — универсальный RBAC/ABAC-движок авторизации для Python

RBACX — авторизация без боли в Python-проектах Когда доступ «размазан» по вьюхам и миддлварам, ревью и тесты превращаются в квест - появляется мотивация все это унифицировать. Я написал RBACX — лёгкий движок, где правила описываются декларативно (JSON/YAML), а проверка прав — это один понятный вызов. В статье показываю, как собрать из него аккуратный PDP для микросервисов и монолитов. Я последние два года пишу бэкенд в стартапе MindUp — это мой первый пост на Хабре, и первая библиотека. Буду рад вопросам и критике. Если тема авторизации болит так же, как у меня, загляните!

https://habr.com/ru/articles/950080/

#python #rbacx #RBAC #ABAC #fastapi #authorization #django #flask #litestar #accesscontrol

ABAC в микросервисах: сложная матрешка прав, простой API и никакой потери производительности

Внедрение атрибутивной модели доступа (ABAC) в крупной корпоративной системе на микросервисах — это всегда испытание для архитекторов, разработчиков и бизнес-аналитиков. ABAC — одна из самых сложных областей IAM (Identity and Access Management) в корпоративных платформах, и даже простая модель может сломать мозг и пользователям, и инженерам. Рассказываю, как я реализовал масштабируемую систему с миллионами сущностей без потери производительности и сохранили простоту API для конечного разработчика.

https://habr.com/ru/articles/925612/

#abac #rbac #enterprise #права_доступа #архитектура #архитектура_системы