인증 코드 리뷰 가이드라인

인증 코드 리뷰 가이드라인에 대해 설명합니다.

파일 구성

나쁜 예 - 조건과 규칙이 섞이고 역할별로 규칙이 분산됨

좋은 예 - 먼저 모든 조건, 그런 다음 역할별로 그룹화된 규칙

안티패턴

기본 정책에서 권한을 활성화하지 마십시오

동적 권한 정의 피하기

나쁜 예 - 권한 이름이 동적으로 구성되어 검색할 수 없으며,

실제로 어디에서도 사용되지 않는 권한을 활성화/방지할 수 있습니다.

좋은 예 - 각 방지가 명시적으로 선언됨

조건에서 잘못된 `:scope` 사용 피하기

나쁜 예 - scope: :user는 결과가 사용자별로 캐시되어 모든 주제에서 공유되지만,

조건이 @subject를 읽으므로 다른 프로젝트가 잘못된 캐시 결과를 가져옵니다

좋은 예 - 주제 데이터만 읽으므로 scope: :subject가 올바름

좋은 예 - 사용자 데이터만 읽으므로 scope: :user가 올바름

좋은 예 - 사용자와 주제 모두 읽으므로 범위가 선언되지 않음

좋은 예 - 사용자나 주제가 필요 없으므로 scope: :global이 올바름

중간 ability를 통한 권한 연쇄 피하기

나쁜 예 - developer가 중간 ability를 활성화하고, 그것이 나중에 분기됨

좋은 예 - 각 역할이 가져야 할 권한을 직접 활성화

좋은 예 - 비공개 권한이 조건으로 더 넓은 권한을 제어

나쁜 예 - 비공개가 아닌 중간 ability를 통한 캐스케이딩

중첩된 조건 피하기

나쁜 예 - 단일 규칙에서 역할과 설정 확인을 혼합

좋은 예 - 역할에 대해 무조건적으로 활성화, 설정이 차단할 때 방지

`admin | owner` 규칙 피하기

나쁜 예

좋은 예

규칙에서 OR 피하기

나쁜 예

좋은 예

일반적인 함정

`condition(:guest)`는 `can?(:guest_access)`와 같지 않습니다

condition(:guest) - 게스트 역할을 가진 명시적 멤버만

can?(:guest_access) - 공개 프로젝트의 모든 사용자

예시

`prevent`를 사용하기 위한 결합된 조건 리팩토링

나쁜 예 - 모든 조건이 참일 때만 권한이 활성화되므로, 역할의

액세스가 기능 플래그 및 기타 조건에 따라 증가합니다. 인증 로직은

액세스를 제거해야 하며, 확장해서는 안 됩니다.

좋은 예 - developer_access가 권한을 무조건적으로 활성화합니다.

그런 다음 각 조건이 만족되지 않을 때 독립적으로 방지하여,

역할의 기본 권한을 항상 열거할 수 있습니다.

이 페이지는 정책 변경, 권한 정의 및 인증 로직과 관련된 머지 요청을 리뷰를 위해 준비하는 방법에 대한 Govern:Authorization 팀 의 지침을 제공합니다. 파일 구성 # 동일한 조건에 대한 모든 권한은 하나의 .policy 블록에 있어야 하며, 파일 전체에 분산되어서는 안 됩니다. 이렇게 하면 파일을 검색하지 않고도 역할이나 조건이 부여하는 전체 권한 집합을 쉽게 볼 수 있습니다. # 나쁜 예 - 조건과 규칙이 섞이고 역할별로 규칙이 분산됨 rule { guest }.enable :read_issue rule { guest }.enable :read_project # 좋은 예 - 먼저 모든 조건, 그런 다음 역할별로 그룹화된 규칙 rule { guest }.policy do enable :read_issue enable :read_project end 안티패턴 # 기본 정책에서 권한을 활성화하지 마십시오 # BasePolicy 는 모든 다른 정책에 의해 상속되므로, 여기서 활성화된 모든 권한은 시스템의 모든 개체에서 암묵적으로 사용 가능합니다. 권한이 어떤 리소스에 대해 인증되는지에 대한 제약이 없으므로 이는 모호성과 보안 위험을 만듭니다. 동적 권한 정의 피하기 # 동적으로 정의된 권한은 코드베이스에서 추적하기 어렵습니다. 명시적으로 선언되지 않고 런타임에 생성된 권한은 권한 이름 검색 시 결과가 없어 이름 변경이나 제거가 완료되었는지 확인이 불가능합니다. # 나쁜 예 - 권한 이름이 동적으로 구성되어 검색할 수 없으며, # 실제로 어디에서도 사용되지 않는 권한을 활성화/방지할 수 있습니다. readonly_features.each do | feature | prevent : "create_ #{feature} " prevent : "update_ #{feature} " prevent : "admin_ #{feature} " end # 좋은 예 - 각 방지가 명시적으로 선언됨 rule { read_only }.policy do prevent :create_issue prevent :update_issue prevent :admin_issue # ... 권한당 한 줄 end 조건에서 잘못된 :scope 사용 피하기 # 모든 condition 은 캐시됩니다. :scope 옵션은 DeclarativePolicy에 캐시 키가 무엇인지 알려줍니다 — 잘못 설정하면 캐시된 결과가 너무 광범위하게 공유되어 한 사용자의 결과가 다른 컨텍스트로 유출되는 버그가 발생합니다. 규칙은 다음과 같습니다: scope: :user 는 조건이 사용자 데이터만 읽는 경우에만 사용 — 주제 데이터 없음. scope: :subject 는 조건이 주제 데이터만 읽는 경우에만 사용 — 사용자 데이터 없음. scope: :global 은 조건이 사용자나 주제 데이터가 필요 없는 경우에만 사용. 조건이 사용자와 주제 데이터 모두 를 읽는 경우 :scope 를 생략(기본값). 참조: DeclarativePolicy 캐시 공유 범위 # 나쁜 예 - scope: :u