Root Access Token

In manchen Szenarien soll eine 5Minds Engine gegen unberechtigten Zugriff gesichert werden, ohne, dass ein mehrschichtiges Autorisierungsmodell erforderlich ist (einfache Absicherung gegen Zugriff unberechtigter Dritter).

Beschreibung

Wenn eine 5Minds Engine ohne weitere Konfigurationsanpassungen gestartet wird, so befindet sie sich einem ungesicherten Modus, der primär für die Erprobung durch interessierte Entwickler gedacht ist.

Dies sieht man am Konfigurationswert allowAnonymousRootAccess im Abschnitt iam (Identity & Access Management):

{
  // ...
  "iam": {
    "allowAnonymousRootAccess": true
  }
}

Nun kann die Engine auch mit Hilfe eines Default “Root Access Tokens” angesteuert werden (Siehe Konfigurationsanleitung).

Will man die Engine gegen unberechtigten Zugriff absichern, kann man mit Hilfe der 5Minds Authority ein beliebig komplexes Berechtigungskonzept umsetzen.

Um nun sicherzustellen, dass nur die an der 5Minds Authority konfigurierten Benutzer auf die Engine zugreifen können, muss die allowAnonymousRootAccess Einstellung entsprechend geändert werden:

{
  // ...
  "iam": {
    "allowAnonymousRootAccess": false
  }
}

Benutzung

In vielen Fällen ist jedoch auch eine weniger aufwändige Zwischenlösung passend:

Die Engine wird über einen “Root Access Token” abgesichert und erlaubt nur jenen Clients Zugriff, die diesen Token kennen:

{
  // ...
  "iam": {
    "allowAnonymousRootAccess": true,
    "rootAccessToken": "mein-geheimer-access-token"
  }
}

Ein solcher Access Token sollte natürlich in der Praxis komplexer sein, bspw.

Zox3huER7zrO-UyUYF2lCrjaHJajgWAue-IeJzRy1y5RizL738A9t01oup36Q4uVqDBexbxfxqlxqpiXu2LQfwuDxYcTjvcarUZDoTb.I3rX9k-XQYe6yMdlCcDlEhVB

Mit Hilfe der ProcessCube CLI pc lassen sich solche Root Access Tokens leicht generieren:

$ pc generate-root-access-token

Für Anwender, die viel tippen und kurze Befehle bevorzugen, existiert ein Alias:

$ pc token