CoSec v1.10.1 发布，基于 RBAC 和策略的多租户响应式安全框架

2023-01-10 301

CoSec

基于 RBAC 和策略的多租户响应式安全框架。

更新内容（v1.10.1） 🎉 🎉 🎉

特性：新增 ContainsConditionMatcher。

    {
      "name": "TestContains",
      "effect": "allow",
      "actions": [
        {
          "type": "all"
        }
      ],
      "condition": {
        "type": "contains",
        "part": "request.attributes.ipRegion",
        "pattern": "上海"
      }
    }

认证

授权

OAuth

建模类图

安全网关服务

授权策略流程

内置策略匹配器

ActionMatcher

如何自定义 `ActionMatcher` (SPI)

参考 RegularActionMatcher

class CustomActionMatcherFactory : ActionMatcherFactory {
    companion object {
        const val TYPE = "[CustomActionType]"
    }

    override val type: String
        get() = TYPE

    override fun create(onfiguration: Configuration): ActionMatcher {
        return CustomActionMatcher(onfiguration)
    }
}
class CustomActionMatcher(configuration: Configuration) :
    AbstractActionMatcher(CustomActionMatcherFactory.TYPE, configuration) {
    override val type: String
        get() = CustomActionMatcherFactory.TYPE

    override fun internalMatch(request: Request, securityContext: SecurityContext): Boolean {
        //Custom matching logic
    }
}

META-INF/services/me.ahoo.cosec.policy.action.ActionMatcherFactory

# CustomActionMatcherFactory fully qualified name

ConditionMatcher

如何自定义 `ConditionMatcher` (SPI)

参考 ContainsConditionMatcher

class CustomConditionMatcherFactory : ConditionMatcherFactory {
    companion object {
        const val TYPE = "[CustomConditionType]"
    }

    override val type: String
        get() = TYPE

    override fun create(configuration: Configuration): ConditionMatcher {
        return CustomConditionMatcher(configuration)
    }
}
class CustomConditionMatcher(configuration: Configuration) :
    AbstractActionMatcher(CustomActionMatcherFactory.TYPE, configuration) {
    override val type: String
        get() = CustomConditionMatcherFactory.TYPE

    override fun internalMatch(request: Request, securityContext: SecurityContext): Boolean {
        //Custom matching logic
    }
}

META-INF/services/me.ahoo.cosec.policy.condition.ConditionMatcherFactory

# CustomConditionMatcherFactory fully qualified name

策略 Schema

Policy Schema

策略 Demo

{
  "id": "id",
  "name": "name",
  "category": "category",
  "description": "description",
  "type": "global",
  "tenantId": "tenantId",
  "statements": [
    {
      "name": "Anonymous",
      "effect": "allow",
      "actions": [
        {
          "type": "path",
          "pattern": "/auth/register"
        },
        {
          "type": "path",
          "pattern": "/auth/login"
        }
      ]
    },
    {
      "name": "UserScope",
      "effect": "allow",
      "actions": [
        {
          "type": "path",
          "pattern": "/user/#{principal.id}/*"
        }
      ],
      "condition": {
        "type": "authenticated"
      }
    },
    {
      "name": "Developer",
      "effect": "allow",
      "actions": [
        {
          "type": "all"
        }
      ],
      "condition": {
        "type": "in",
        "part": "context.principal.id",
        "in": [
          "developerId"
        ]
      }
    },
    {
      "name": "RequestOriginDeny",
      "effect": "deny",
      "actions": [
        {
          "type": "all"
        }
      ],
      "condition": {
        "type": "reg",
        "negate": true,
        "part": "request.origin",
        "pattern": "^(http|https)://github.com"
      }
    },
    {
      "name": "IpBlacklist",
      "effect": "deny",
      "actions": [
        {
          "type": "all"
        }
      ],
      "condition": {
        "type": "path",
        "part": "request.remoteIp",
        "path": {
          "caseSensitive": false,
          "separator": ".",
          "decodeAndParseSegments": false
        },
        "pattern": "192.168.0.*"
      }
    },
    {
      "name": "RegionWhitelist",
      "effect": "deny",
      "actions": [
        {
          "type": "all"
        }
      ],
      "condition": {
        "negate": true,
        "type": "reg",
        "part": "request.attributes.ipRegion",
        "pattern": "^中国\\|0\\|(上海|广东省)\\|.*"
      }
    },
    {
      "name": "AllowDeveloperOrIpRange",
      "effect": "allow",
      "actions": [
        {
          "type": "all"
        }
      ],
      "condition": {
        "type": "bool",
        "bool": {
          "and": [
            {
              "type": "authenticated"
            }
          ],
          "or": [
            {
              "type": "in",
              "part": "context.principal.id",
              "in": [
                "developerId"
              ]
            },
            {
              "type": "path",
              "part": "request.remoteIp",
              "path": {
                "caseSensitive": false,
                "separator": ".",
                "decodeAndParseSegments": false
              },
              "pattern": "192.168.0.*"
            }
          ]
        }
      }
    }
  ]
}

感谢

CoSec 权限策略设计参考 AWS IAM 。

微信关注我们

原文链接：https://www.oschina.net/news/224446/cosec-1-10-1-released

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

渠成企业软件百宝箱 2.6 版本发布，新增解决方案市场

大家好，渠成企业软件百宝箱 2.6 版本发布了，新增解决方案市场，并上架禅道 DevOps 解决方案。渠成官网为您提供渠成软件百宝箱的试用，您可以在应用市场选取需要的应用体验安装与试用，我们还提供每一款应用的演示服务，让您快速体验不同的应用。一、新增功能 1.1 新增解决方案市场新增“解决方案”市场，并上架了禅道 DevOps 解决方案。渠成平台会陆续上架更多的解决方案，您可以通过解决方案市场找到适合自己使用场景的解决方案，并且一键安装。二、2.6 版本详细更新列表 2.1 新特性新增解决方案市场上架禅道 DevOps 解决方案 2.2 应用更新 ModStartCMS 更新到 5.5.0 Drawio 更新到 20.8.3 Gogs 更新到 0.12.10 ZenDAS 更新到 1.3.0 2.3 变更内部邮件代理服务支持了 STARTTLS 域名管理模块，对上传的证书类型做了更好的兼容 Gogs 集成了邮件功能相关文档 ModStartCMS 更新到 5.5.0 Drawio 更新到 v20.8.3

2023-01-10

365

漏洞描述 Apache Sling 是一个基于可扩展内容树（extensible content tree）的 RESTful Web 应用框架。 1.1.4 之前版本的 Apache Sling 中的 cms.js#confirmMessage 方法未对用户可控的 title 和 message 参数进行过滤，攻击者可通过将恶意字符如（";alert('XSS')）加载到 startcontent.jsp 页面的 title 和 message 参数中，当用户访问该页面时远程执行恶意 javascript 代码。漏洞名称 Apache Sling App CMS <1.1.4 存在反射型XSS漏洞漏洞类型 XSS 发现时间 2023-01-10 漏洞影响广度小 MPS编号 MPS-2022-67148 CVE编号 CVE-2022-46769 CNVD编号 - 影响范围 org.apache.sling:org.apache.sling.cms@[0.9.0, 1.1.4) 修复方案升级org.apache.sling:org.apache.sling.cms到 1.1...

2023-01-10

395

资源下载

更多资源

腾讯云软件源

为解决软件依赖安装时官方源访问速度慢的问题，腾讯云为一些软件搭建了缓存服务。您可以通过使用腾讯云软件源站来提升依赖包的安装速度。为了方便用户自由搭建服务架构，目前腾讯云软件源站支持公网访问和内网访问。

Nacos

Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service 的首字母简称，一个易于构建 AI Agent 应用的动态服务发现、配置管理和AI智能体管理平台。Nacos 致力于帮助您发现、配置和管理微服务及AI智能体应用。Nacos 提供了一组简单易用的特性集，帮助您快速实现动态服务发现、服务配置、服务元数据、流量管理。Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。

Spring

Spring框架（Spring Framework）是由Rod Johnson于2002年提出的开源Java企业级应用框架，旨在通过使用JavaBean替代传统EJB实现方式降低企业级编程开发的复杂性。该框架基于简单性、可测试性和松耦合性设计理念，提供核心容器、应用上下文、数据访问集成等模块，支持整合Hibernate、Struts等第三方框架，其适用范围不仅限于服务器端开发，绝大多数Java应用均可从中受益。

Sublime Text

Sublime Text具有漂亮的用户界面和强大的功能，例如代码缩略图，Python的插件，代码段等。还可自定义键绑定，菜单和工具栏。Sublime Text 的主要功能包括：拼写检查，书签，完整的 Python API ， Goto 功能，即时项目切换，多选择，多窗口等等。Sublime Text 是一个跨平台的编辑器，同时支持Windows、Linux、Mac OS X等操作系统。

CoSec v1.10.1 发布，基于 RBAC 和策略的多租户响应式安全框架

CoSec

更新内容（v1.10.1） 🎉 🎉 🎉

认证

授权

OAuth

建模类图

安全网关服务

授权策略流程

内置策略匹配器

ActionMatcher

如何自定义 `ActionMatcher` (SPI)

ConditionMatcher

如何自定义 `ConditionMatcher` (SPI)

策略 Schema

感谢

渠成企业软件百宝箱 2.6 版本发布，新增解决方案市场

Apache Sling App CMS <1.1.4 存在反射型XSS漏洞

相关文章

发表评论

资源下载

腾讯云软件源

Nacos

Spring

Sublime Text

欢迎您来访！

CoSec v1.10.1 发布，基于 RBAC 和策略的多租户响应式安全框架

CoSec

更新内容（v1.10.1） 🎉 🎉 🎉

认证

授权

OAuth

建模类图

安全网关服务

授权策略流程

内置策略匹配器

ActionMatcher

如何自定义 ActionMatcher (SPI)

ConditionMatcher

如何自定义 ConditionMatcher (SPI)

策略 Schema

感谢

渠成企业软件百宝箱 2.6 版本发布，新增解决方案市场

Apache Sling App CMS <1.1.4 存在反射型XSS漏洞

相关文章

发表评论

资源下载

腾讯云软件源

Nacos

Spring

Sublime Text

欢迎您来访！

如何自定义 `ActionMatcher` (SPI)

如何自定义 `ConditionMatcher` (SPI)