如果 REST 服务正在访问机密数据,应该对服务使用身份验证。如果需要为不同的用户提供不同级别的访问权限,还要指定端点所需的权限。
REST 服务设置身份验证可以对 IRIS REST 服务使用以下任何形式的身份验证:
HTTP 身份验证标头 — 这是 REST 服务的推荐身份验证形式。Web 会话身份验证 — 其中用户名和密码在 URL 中的问号后面指定。OAuth 2.0 身份验证 - 请参阅以下小节。REST 应用程序和 OAuth 2.0要通过 OAuth 2.0 对 REST 应用程序进行身份验证,请执行以下所有操作:
REST 应用程序的资源服务器配置为 OAuth 2.0 资源服务器。%Service.CSP 进行委派身份验证。Web 应用程序(用于 REST 应用程序)配置为使用委托身份验证。%SYS 命名空间中创建一个名为 ZAUTHENTICATE 的例程。 提供了一个示例例程 REST.ZAUTHENTICATE.mac,可以复制和修改它。此例程是 GitHub (https://github.com/intersystems/Samples-Security) 上 Samples-Security 示例的一部分。可以按照“下载用于 IRIS 的示例”中的说明下载整个示例,但在 GitHub 上打开例程并复制其内容可能更方便。在例程中,修改 applicationName 的值并根据需要进行其他更改。
REST 服务所需的权限为了指定执行代码或访问数据所需的权限, 技术使用基于角色的访问控制 (RBAC)。
如果需要为不同的用户提供不同级别的访问权限,请执行以下操作来指定权限:
REST 服务或 REST 服务中的特定端点所需的权限;然后重新编译。权限是与资源名称组合的权限(例如读取或写入)。此外,可以使用 %CSP.REST 类的 SECURITYRESOURCE 参数来执行授权。
可以为整个 REST 服务指定权限列表,也可以为每个端点指定权限列表。为此:
OpenAPI XData 块。对于 info 对象,添加一个名为 x-ISC_RequiredResource 的新属性,其值是以逗号分隔的已定义资源列表及其访问模式 (resource:mode),这是访问 REST 服务的任何端点所必需的。下面显示了一个示例:
"swagger":"2.0",
"info":{
"version":"1.0.0",
"title":"Swagger Petstore",
"description":"A sample API that uses a petstore as an example to demonstrate features in the swagger-2.0 specification",
"termsOfService":"http://swagger.io/terms/",
"x-ISC_RequiredResource":["resource1:read","resource2:read","resource3:read"],
"contact":{
"name":"Swagger API Team"
},
...
x-ISC_RequiredResource 属性添加到定义该端点的操作对象,如下例所示: "post":{
"description":"Creates a new pet in the store. Duplicates are allowed",
"operationId":"addPet",
"x-ISC_RequiredResource":["resource1:read","resource2:read","resource3:read"],
"produces":[
"application/json"
],
...
SECURITYRESOURC 参数作为附加的授权工具,分派 %CSP.REST 子类的类具有 SECURITYRESOURCE 参数。 SECURITYRESOURCE 的值要么是资源及其权限,要么只是资源(在这种情况下,相关权限是使用)。系统检查用户是否对与 SECURITYRESOURCE 关联的资源具有所需的权限。
注意:如果调度类为 SECURITYRESOURCE 指定了一个值,并且 CSPSystem 用户没有足够的权限,那么这可能会导致登录尝试失败时出现意外的 HTTP 错误代码。为防止这种情况发生, 建议您将指定资源的权限授予 CSPSystem 用户。