Padrões e Práticas para tratar Autorização em Microsserviços

Autorização, em qualquer aplicação não é processo simples. Quando estamos implementando Microsserviços, o desafio pode ser um pouco maior.

Neste post, compartilho uma nova perspectiva, proposta pelos autores do IdentityServer4 para o processo de autorização, fazendo devidas considerações para Microsserviços.

Se tiver interesse em entender mais sobre microsserviços, recomendo que acesse o Guia de Conteúdo para Microsserviços deste site.

Aliás, se estiver realmente interessado no tema, recomendo que assita o vídeo abaixo. Trata-se de uma palestra do Broke Alen e do Dominick Baier apresentando o projeto PolicyServer.

https://vimeo.com/254635640

Identity != Permissions

Frequentemente, tenho visto Autorização ser implementada a partir de claims fornecidos pelo serviço de autenticação. Essa abordagem, entretanto, pode gerar um conjunto enorme de problemas (afinal, o acoplamento é muito forte).

A ideia proposta, de forma simplificada, é de que deveria ser responsabilidade do serviço de autenticação fornecer apenas dados relacionados a identidade. Esses dados, geralmente, sofrem poucas modificações ao longo do tempo.

Permissões (Autorização), diferentemente da identidade, podem ser redefinidas com muito mais frequência. Seja pela mudança das políticas organizacionais, seja pela adição de novas funcionalidades aos Microsserviços.

O servidor de identidade é crítico demais, em qualquer implementação de microsserviços, para ter dados modificados com frequência.

Uma abordagem mais adequadas para tratamento de autorização, estou convencido, seria que esta fosse uma responsabilidade de cada microsserviço. Identidade é universal para o sistema, permissões são específicas para cada microsserviço.

Identities + Permissions == Authorization

De Roles Globais para Roles do Contexto

Roles definidas no servidor de identidade, geralmente, são específicas demais para serem utilizadas de forma eficiente em um microsserviços. A tentativa de levar roles dos microsserviços para o servidor de identidade, ou o contrário, levam a acoplamento demasiado grande.

Geralmente, em microsserviços, temos Roles adaptadas mais adequadas ao contexto. O ideal, é que exista a possibilidade de mapear roles da identidade para Roles do microsserviço.

Vejamos esse exemplo extraído de uma demonstração do PolicyServer.

{
  "Policy": {
    "roles": [
      {
        "name": "doctor",
        "subjects": [ "1", "2" ],
        "identityRoles": [ "surgeon" ]
      },
      {
        "name": "nurse",
        "subjects": [ "11", "12" ],
        "identityRoles": [ "RN" ]
      },
      {
        "name": "patient",
        "identityRoles": [ "customer" ]
      }
    ],
...

No exemplo, vemos um “de-para” de roles do servidor de identidade para roles específicas de um microsserviço.

Perceba:

  • há um nítido ajuste para a linguagem ubíqua do contexto delimitado, indicado, por exemplo, que um “customer” no contexto do microsserviço deverá ser interpretado como “patient“;
  • ocorre uma  normalização das Roles apontando que todo cirurgião (surgeon) é, na prática, um médico (doctor) – para o microsserviço, a especialidade do médico pode ser irrelevante;
  • é possível fazer a inclusão de usuários (identidades) específicos para determinadas Roles apenas no microsserviço.

Autorização por permissões, não por Roles

Outra recomendação interessante é a de pensar autorização pelo controle de permissões, não de Roles. Vejamos o exemplo proposto na demonstração do PolicyServer.

  "permissions": [
      {
        "name": "SeePatients",
        "roles": [ "doctor", "nurse" ]
      },
      {
        "name": "PerformSurgery",
        "roles": [ "doctor" ]
      },
      {
        "name": "PrescribeMedication",
        "roles": [ "doctor", "nurse" ]
      },
      {
        "name": "RequestPainMedication",
        "roles": [ "patient" ]
      }
    ]
  }
}

Aqui, temos uma relação das operações que iremos controlar, relacionando-as com as roles especificas do microsserviço.

Repare que há permissões que estão habilitadas para mais de uma Role.

Resumindo

Tenha um servidor de identidade, com dados globais e que sofrem poucas modificações ao longo do tempo. Feito isso, implemente regras de autorização de forma independente em cada microsserviço (considere dar uma olhada no PolicyServer – parece bastante promissor).

Capa:Andrew Haimerl

Compartilhe este insight:

5 respostas

  1. Inclui um exemplo do seu cotidiano com sistemas distribuídos ou microsserviços com que você esteja envolvido para contextualizarmos.
    Obrigado.

    1. Tenho NDA em meus projetos.

      Mas, considere um sistema para postos de combustíveis. No backoffice, não é relevante se a pessoa é frentista ou atendente de caixa – apenas que recebe dinheiro. Ficou mais claro?

      De qualquer forma, o vídeo com a palestra deve ser mais feliz do que eu explicando.

  2. Muito bom artigo,

    Voce ainda acha que o PolicyServer é uma boa opção? Tem alguma outra sugestão? Faz muito sentido separar a autenticação da autorização, ja que sao reponsabilidade diferentes e cada microserviço tem as suas.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Elemar Júnior

Sou fundador e CEO da EximiaCo e atuo como tech trusted advisor ajudando diversas empresas a gerar mais resultados através da tecnologia.

Elemar Júnior

Sou fundador e CEO da EximiaCo e atuo como tech trusted advisor ajudando diversas empresas a gerar mais resultados através da tecnologia.

Mais insights para o seu negócio

Veja mais alguns estudos e reflexões que podem gerar alguns insights para o seu negócio:

Last post, I asked an explanation about the execution result of the following code. using System; using System.Threading.Tasks; using static...
Conheci o poema maravilhoso da Viviane Mosé, transcrito abaixo, na interpretação de uma grande amiga. Quem tem olhos pra ver...
Criar uma visualização para o fluxo de trabalho é uma das primeiras recomendações do Kanban e tem uma série de...
Há alguns dias tive a oportunidade de falar sobre Inovação e Empreendedorismo com empresários da serra gaúcha. Nessa conversa, disponível...
Pessoas diferentes têm realidades diferentes e, por isso, são impactadas pela crise de maneiras diferentes. Tenho consciência de que meu...
No meu tempo absolutamente livre – quando não estou trabalhando, estudando ou aproveitando com a família – tenho jogado Mario...
× Precisa de ajuda?