Échantillon de billes de contrôle d'accès fin

L'application de code de chaîne de billes vous permet de créer des ressources (billes) avec des attributs uniques (nom, taille, couleur et responsable) et d'échanger ces ressources avec d'autres participants à un réseau de chaîne de blocs.

Cet exemple d'application comprend une variété de fonctions pour vous permettre d'examiner comment utiliser des listes de contrôle d'accès et des groupes pour restreindre les fonctions à certains utilisateurs.

• Aperçu de l'exemple
• Prérequis et configuration
• Implémenter l'exemple de marbre de contrôle d'accès de niveau fin
• Tester le contrôle d'accès
• Informations sur les exemples de fichiers

Aperçu de l'exemple

Le scénario de test inclus dans l'échantillon contient les restrictions suivantes afin de gérer les immobilisations :

• Le transfert en masse de billes rouges n'est autorisé que par les identités ayant l'attribut Fabric "redMarblesTransferPermission".
• Le transfert en masse de billes bleues n'est autorisé que par les identités ayant l'attribut Fabric "blueMarblesTransferPermission".
• La suppression de billes n'est autorisée que pour les identités avec l'attribut Fabric "deleteMarblePermission".

Ces restrictions sont appliquées en mettant en oeuvre les méthodes de bibliothèque suivantes dans le code de chaîne fgMarbles_chaincode.go :

• Créez un groupe de listes de contrôle d'accès détaillé nommé bulkMarblesTransferGroup. Ce groupe définira toutes les identités qui peuvent transférer des billes en fonction de la couleur (transferts en masse) :

  createGroup(stub, []string{" bulkMarblesTransferGroup", 
  "List of Identities allowed to Transfer Marbles in Bulk", 
  "%ATTR%redMarblesTransferPermission=true, %ATTR%blueMarblesTransferPermission=true", ".ACLs"})

• Créez une liste de contrôle d'accès détaillée nommée redMarblesAcl qui fournit un transfert en masse de billes rouges pour l'accès à bulkMarblesTransferGroup :

  createACL(stub, []string{"redMarblesAcl", 
  "ACL to control who can transfer red marbles in bulk", 
  "redMarblesTransferPermission", "%GRP%bulkMarblesTransferGroup", "true", ".ACLs"})

• Créez une liste de contrôle d'accès détaillée nommée blueMarblesAcl qui fournit un transfert en masse de billes bleues pour l'accès à bulkMarblesTransferGroup :

  createACL(stub, []string{"blueMarblesAcl", 
  "ACL to control who can transfer blue marbles in bulk", 
  "blueMarblesTransferPermission", "%GRP%bulkMarblesTransferGroup", "true", ".ACLs"})

• Créez une liste de contrôle d'accès détaillée nommée deleteMarbleAcl pour restreindre la suppression du marbre en fonction de l'attribut Fabric "canDeleteMarble=true" :

  createACL(stub, []string{"deleteMarbleAcl", 
  "ACL to control who can Delete a Marble", 
  "deleteMarblePermission", "%ATTR%deleteMarblePermission=true", "true", ".ACLs"})

• Créez une ressource de liste de contrôle d'accès détaillée nommée marble, opérations contrôlées à l'aide des différentes listes de contrôle d'accès que nous avons créées :

  createResource(stub, []string{"marble", 
  "System marble resource", 
  "deleteMarbleAcl,blueMarblesAcl,redMarblesAcl,.ACLs"})

Prérequis et configuration

Pour exécuter la version de contrôle d'accès détaillé de l'échantillon de billes, procédez comme suit :

1. Téléchargez la version de contrôle d'accès fine de l'échantillon de billes. Dans la page Outils pour développeurs, ouvrez le volet Exemples, puis cliquez sur le lien de téléchargement sous Marques avec des listes de contrôle d'accès détaillées. Extraire cet ensemble, qui contient les fichiers .zip de l'échantillon de billes (fgACL_MarbleSampleCC.zip), les fichiers Node.js pour exécuter l'exemple (fgACL-NodeJSCode.zip) et la bibliothèque de contrôle d'accès détaillé (Fine-GrainedAccessControlLibrary.zip).
2. Générer le paquet de code de chaîne qui sera déployé sur Oracle Blockchain Platform :
   • Extrayez le contenu du fichier fgACL_MarbleSampleCC.zip dans le répertoire fgACL_MarbleSampleCC. Le contenu du répertoire fgACL_MarbleSampleCC sera les fichiers fgACL_Operations.go, fgGroups_Operations.go, fgMarbles_chaincode.go,fgResource_Operations.go et go.mod et le répertoire oracle.com.
   • À partir de la ligne de commande, allez au répertoire fgACL_MarbleSampleCC et exécutez GO111MODULE=on go mod vendor. Cette commande télécharge les dépendances requises et les ajoute au répertoire vendor.
   • Compressez tout le contenu (les quatre fichiers Go, le fichier go.mod et les répertoires vendor et oracle.com) du répertoire fgACL_MarbleSampleCC au format ZIP. Le code de chaîne est prêt à être déployé sur Oracle Blockchain Platform.
3. Installer et déployer l'exemple d'ensemble de code de chaîne mis à jour (fgACL_MarbleSampleCC.zip), comme décrit sous Utiliser le déploiement rapide.
4. Dans la page Outils pour développeurs, ouvrez le volet Développement d'applications, puis suivez les instructions pour télécharger la trousse SDK Node.js.
5. Dans la page Outils pour développeurs, ouvrez le volet Développement d'applications, puis cliquez sur Télécharger l'ensemble de développement.
   1. Extrayez l'ensemble de développement dans le même dossier avec les fichiers Node.js téléchargés avec l'exemple.
   2. Dans le fichier network.yaml, recherchez l'entrée certificateAuthorities et son entrée registrar. Le mot de passe de l'administrateur est masqué (converti en ***) dans network.yaml lors du téléchargement. Remplacez ce mot de passe par le mot de passe en texte clair de l'administrateur lors de l'exécution de cet exemple.
6. Enregistrer une nouvelle identité avec votre instance Oracle Blockchain Platform :
   1. Créez un utilisateur dans IDCS (appelé <NewIdentity> dans les étapes suivantes) dans l'IDCS mappé à votre location.
   2. Attribuez à cet utilisateur le rôle d'application CA_User pour votre instance.

Implémenter l'exemple de marbre de contrôle d'accès de niveau fin

Effectuez les étapes suivantes pour inscrire votre nouvel utilisateur et mettre en oeuvre les restrictions de liste de contrôle d'accès à l'aide des scripts Node.js fournis.

1. Inscrire le nouvel utilisateur :

   node registerEnrollUser.js <NewIdentity> <Password>

2. Initialisation : Initialisez les listes de contrôle d'accès.

   node invokeQueryCC.js <NewIdentity> <Password> <ChannelName> <ChaincodeName> ACLInitialization

3. Créer les listes de contrôle d'accès, les groupes et les ressources : Cela crée les ressources de liste de contrôle d'accès décrites dans l'aperçu.

   node invokeQueryCC.js <NewIdentity> <Password> <ChannelName> <ChaincodeName> createFineGrainedAclSampleResources

4. Créer vos ressources de marbre de test : Cela crée plusieurs ressources de marbre de test - blue1 et blue2 appartenant à tom, red1 et red2 appartenant à jerry, et green1 et green2 appartenant à spike.

   node invokeQueryCC.js <NewIdentity> <Password> <ChannelName> <ChaincodeName> createTestMarbles

Tester le contrôle d'accès

Pour vérifier que nos listes de contrôle d'accès permettent uniquement aux utilisateurs appropriés d'exécuter chaque fonction, exécutez certains exemples de scénarios.

1. Transférer un marbre : Transférer le marbre blue1 de tom à jerry. Parce qu'il n'y a aucune restriction sur qui peut transférer un seul marbre, cela se termine avec succès.

   node invokeQueryCC.js <NewIdentity> <Password> <ChannelName> <ChaincodeName> transferMarble blue1 jerry

2. Transférer un marbre en tant qu'utilisateur administratif : Transférer le marbre blue1 de jerry à spike. Parce qu'il n'y a aucune restriction sur qui peut transférer un seul marbre, cela se termine également avec succès.

   node invokeQueryCC.js <AdminIdentity> <Password> <ChannelName> <ChaincodeName> transferMarble blue1 spike

3. Obtenir l'historique : Interrogez l'historique du marbre nommé blue1. Il revient qu'il a été transféré d'abord à jerry puis à pic.

   node invokeQueryCC.js <AdminIdentity> <Password> <ChannelName> <ChaincodeName> getHistoryForMarble blue1

4. Transférer toutes les billes rouges : La liste de contrôle d'accès redMarblesAcl autorise ce transfert, car la nouvelle identité enregistrée a l'attribut Fabric "redMarblesTransferPermission=true" requis, de sorte que les deux billes rouges seront transférées à tom.

   node invokeQueryCC.js <NewIdentity> <Password> <ChannelName> <ChaincodeName> transferMarblesBasedOnColor red tom

5. Transférer toutes les marbres rouges en tant qu'utilisateur administrateur : L'identité d'administration n'a pas l'attribut Fabric "redMarblesTransferPermission=true". La liste de contrôle d'accès redMarblesAcl bloque donc ce transfert.

   node invokeQueryCC.js <AdminIdentity> <Password> <ChannelName> <ChaincodeName> transferMarblesBasedOnColor red jerry

6. Transférer toutes les billes vertes : Par défaut, seul l'accès défini explicitement est autorisé. Comme il n'y a pas de liste de contrôle d'accès qui permet le transfert en masse de billes vertes, cela échoue.

   node invokeQueryCC.js <NewIdentity> <Password> <ChannelName> <ChaincodeName> transferMarblesBasedOnColor green tom

7. Supprimer un marbre : La liste de contrôle d'accès deleteMarbleAcl autorise cette suppression, car la nouvelle identité enregistrée comporte l'attribut Fabric "deleteMarblePermission=true" requis.

   node invokeQueryCC.js <NewIdentity> <Password> <ChannelName> <ChaincodeName> delete green1

8. Supprimer un marbre en tant qu'utilisateur administrateur : La liste de contrôle d'accès deleteMarbleAcl empêche cette suppression, car l'identité administrative n'a pas l'attribut "deleteMarblePermission=true" Fabric requis.

   node invokeQueryCC.js < AdminIdentity > <Password> <ChannelName> <ChaincodeName> delete green2

Informations sur les exemples de fichiers

Ces tableaux répertorient les méthodes disponibles dans le code de chaîne et les fichiers d'application inclus dans l'exemple.

fgMarbles_chaincode.go

Fonction	Description
initMarble	Créer un marbre
transferMarble	Transférer un marbre d'un propriétaire à un autre en fonction du nom
createTestMarbles	Appelle initMarble pour créer des exemples de billes à des fins de test
createFineGrainedAclSampleResources	Crée la liste de contrôle d'accès détaillée (LCA), les groupes et les ressources requis par notre scénario de test
transferMarblesBasedOnColor	Transfère plusieurs billes d'une certaine couleur à un autre propriétaire
delete	Supprimer un marbre
readMarble	Retourne tous les attributs d'un marbre en fonction du nom
getHistoryForMarble	Retourne l'historique des valeurs d'un marbre

fgACL_Operations.go

Méthodes	Paramètres	Description
getACL	name	Obtenez une liste de contrôle d'accès nommée ou lisez toutes les listes de contrôle d'accès. L'utilisateur qui appelle la méthode doit avoir accès en lecture à la liste de contrôle d'accès nommée.
createACL	name description accesses patterns allowed BindACLs Identity_Certificate	Pour créer une liste de contrôle d'accès, l'utilisateur appelant la méthode doit avoir l'accès CREATE à la ressource d'amorçage nommée ". ACLs". Les listes de contrôle d'accès nommées en double ne sont pas autorisées
deleteACL	name	L'utilisateur qui appelle la méthode doit avoir un accès DELETE à la liste de contrôle d'accès nommée.
updateACL	name description accesses patterns allowed BindACLs	L'utilisateur appelant la méthode doit avoir un accès UPDATE à la ressource nommée et la liste de contrôle d'accès nommée doit exister.
addAfterACL	aclName existingBindAclName newBindAclName	L'utilisateur appelant la méthode doit avoir un accès UPDATE à la ressource nommée et la liste de contrôle d'accès nommée doit exister.
addBeforeACL	aclName existingBindAclName newBindAclName	L'utilisateur appelant la méthode doit avoir un accès UPDATE à la ressource nommée et la liste de contrôle d'accès nommée doit exister.
addPatternToACL	aclName BindPattern	L'utilisateur appelant la méthode doit avoir un accès UPDATE à la ressource nommée et la liste de contrôle d'accès nommée doit exister.
removePatternFromACL	aclName BindPattern	L'utilisateur appelant la méthode doit avoir un accès UPDATE à la ressource nommée et la liste de contrôle d'accès nommée doit exister.
updateDescription	aclName newDesc	L'utilisateur appelant la méthode doit avoir un accès UPDATE à la ressource nommée et la liste de contrôle d'accès nommée doit exister.
removeBindACL	aclName bindAclNameToRemove	L'utilisateur appelant la méthode doit avoir un accès UPDATE à la ressource nommée et la liste de contrôle d'accès nommée doit exister.
addAccess	aclName accessName	L'utilisateur appelant la méthode doit avoir un accès UPDATE à la ressource nommée et la liste de contrôle d'accès nommée doit exister.
removeAccess	aclName accessName	L'utilisateur appelant la méthode doit avoir un accès UPDATE à la ressource nommée et la liste de contrôle d'accès nommée doit exister.
ACLInitialization	aucune	Cette fonction est utilisée pour initialiser la prise en charge des listes de contrôle d'accès détaillées.

fgGroups_Operations.go

Méthodes	Paramètres	Description
getGroup	name	Si name="GetAll", il retourne tous les groupes auxquels l'identité a accès. Sinon, il retourne les détails du groupe individuel (s'il est accessible) en fonction du nom. L'utilisateur qui appelle la méthode doit avoir accès en lecture à ce groupe.
createGroup	name description patterns bindACLs	Retourne success ou error. L'utilisateur appelant la méthode doit avoir l'accès CREATE au groupe d'amorçage ". Group"
deleteGroup	name	L'utilisateur qui appelle la méthode doit avoir un accès DELETE à ce groupe.
addAfterGroup	groupName existingBindAclName newBindAclName	L'utilisateur appelant la méthode doit avoir un accès UPDATE à ce groupe.
addBeforeGroup	groupName existingBindAclName newBindAclName	L'utilisateur appelant la méthode doit avoir un accès UPDATE à ce groupe.
updateDescriptionForGroup	groupName newDesc	L'utilisateur appelant la méthode doit avoir un accès UPDATE à ce groupe.
removeBindAclFromGroup	groupName bindAclNameToRemove	L'utilisateur appelant la méthode doit avoir un accès UPDATE à ce groupe.
addMembersToGroup	groupName pattern	L'utilisateur appelant la méthode doit avoir un accès UPDATE à ce groupe.
removeMembersFromGroup	groupName pattern	L'utilisateur appelant la méthode doit avoir un accès UPDATE à ce groupe.

fgResource_Operations.go

Méthodes	Paramètres	Description
createResource	name description bindACLs	L'utilisateur appelant la méthode doit avoir l'accès CREATE à la ressource d'amorçage nommée ". Resources". Les ressources nommées en double ne sont pas autorisées.
getResource	name	L'utilisateur appelant la méthode doit avoir accès en lecture à la ressource
deleteResource	name	L'utilisateur appelant la méthode doit avoir un accès DELETE à la ressource nommée
addAfterACLInResource	ResourceName existingBindAclName newBindAclName	L'utilisateur appelant la méthode doit avoir un accès UPDATE à cette ressource
addBeforeACLInResource	ResourceName existingBindAclName newBindAclName	L'utilisateur appelant la méthode doit avoir un accès UPDATE à cette ressource
updateDescriptionInResource	ResourceName newDesc	L'utilisateur appelant la méthode doit avoir un accès UPDATE à cette ressource
removeBindACLInResource	ResourceName bindAclNameToRemove	L'utilisateur appelant la méthode doit avoir un accès UPDATE à cette ressource
checkResourceAccess	ResourceName access	Vérifie si l'utilisateur courant appelant la méthode dispose de l'accès spécifié à la ressource nommée.