单身份策略授权项关联多个策略授权项的影响
CDN的身份策略授权项合并了部分功能类似的策略授权项,所以身份策略授权项可能对应多个策略授权项,即表1中的授权项对应多个别名,如果同时配置身份策略授权项和策略授权项,此时可能带来权限扩大或者减小的问题,影响鉴权结果。
详见下表:
|
授权项 |
接口 |
策略授权结果 |
身份策略授权结果 |
说明 |
|---|---|---|---|---|
|
策略授权项:allow: cdn:statistics:queryTopUrl |
/cdn/statistics/top-url |
通过 |
通过 |
权限扩大,由于cdn:statistics:queryTopUrl是cdn:statistics:queryStats别名,所以用户可以调用所有cdn:statistics:queryStats对应的接口。 |
|
/cdn/statistics/flux-detail |
拒绝 |
通过 |
||
|
策略授权项:deny: cdn:statistics:queryTopUrl 策略授权项:allow: cdn:statistics:queryDomainSummaryDetail 身份策略授权项:allow: cdn:statistics:queryStats |
/cdn/statistics/top-url |
拒绝 |
拒绝 |
权限减小,由于cdn:statistics:queryStats的某个别名设置了deny,会导致身份策略授权鉴权中所有关联了cdn:statistics:queryStats的接口鉴权都失败。 |
|
/cdn/statistics/flux-detail |
通过 |
拒绝 |
||
|
策略授权项:deny: cdn:statistics:queryTopUrl 身份策略授权项:allow: cdn:statistics:queryStats |
/cdn/statistics/top-url |
通过 |
拒绝 |
权限减小,由于策略授权cdn:statistics:queryTopUrl为deny,身份策略授权中使用cdn:statistics:queryStats的所有接口鉴权都失败。 |
