1. Utilisation d'Oracle Blockchain Platform
  2. Utilisation de la bibliothèque de contrôle d'accès de niveau fin incluse dans l'exemple de billes
  3. Exemple d'utilisation de la bibliothèque de contrôle d'accès de niveau fin

Exemple d'utilisation de la bibliothèque de contrôle d'accès de niveau fin

Cette rubrique fournit des exemples d'utilisation de cette bibliothèque et de ce code chaîne. Tous ces éléments supposent que Init() a été appelé pour créer les entités d'initialisation et que l'appelant de Init() et invoke() est "%CN%frank.thomas@example.com". Dans une application, le flux normal consiste à créer des listes de contrôle d'accès initiales qui seront utilisées pour accorder ou refuser l'accès aux autres entités.

Initialisation

Appelez Initialization() pour créer des entités d'initialisation lors de l'instanciation du code chaîne. Exemple : 

import "chaincodeACL"
func (t \*SimpleChaincode) Init(nil, stub shim.ChaincodeStubInterface) pb.Response
{
         err := chaincodeACL.Initialization(stub)
}

Créer une ACL

import "chaincodeACL"
...
{

**ACLMgr**  := chaincodeACL.NewACLManager(nil, stub) // Not specify identity, use caller's identity as default.

// Define a new ACL
**newACL**  := chaincodeACL.ACL{

    "AllowAdmins",   // ACL name
    "Allow admins full access",  // Description
    []string{"CREATE","READ","UPDATE","DELETE"},    // Accesses allowed or not
    true, // Allowed
    []string{"%CN%bob.dole@example.com","%OU%example.com,"%GRP%admins"}, // Initial identity patterns
    ".ACLs.acl", // Start with bootstrap ACL

}

// Add this ACL with default identity (caller's identify here)
err :=  **ACLMgr**.Create( **newACL** , nil)

}

Maintenant que nous avons une nouvelle ACL, nous pouvons l'utiliser pour modifier qui peut effectuer certaines opérations. Nous allons donc d'abord ajouter cette nouvelle ACL au groupe de démarrage .Groups pour permettre à tout administrateur de créer un groupe.

Ajouter une ACL à un groupe

import "chaincodeACL"
…
{

  **groupMgr**  := chaincodeACL.NewGroupManager(nil, stub) // Not specify identity, use caller's identity as default.
  err :=  **groupMgr**.AddAfterACL(

    ".Groups",     // Bootstrap group name
    ".Groups.ACL", // Which ACL to add after
    "AllowAdmins", // The new ACL to add
    nil            // with default identity that's frank.thomas

)

}

Cette opération ajoute l'ACL AllowAdmins au groupe d'amorce .Groups après l'ACL d'amorce initiale. Ainsi, cela garantit que Frank Thomas peut toujours effectuer des opérations sur .Groups car l'ACL lui accordant l'autorisation est la première dans la liste. Mais à présent, toute personne qui correspond à la liste de contrôle d'accès AllowAdmins peut effectuer des opérations CREATE, READ, UPDATE ou DELETE (elle peut désormais créer de nouveaux groupes).

Créer un groupe

Les administrateurs peuvent désormais créer un groupe :

import "chaincodeACL"
...
{

...
  // Define a new group.
  **newGroup**  := chaincodeACL.Group{

      "AdminGrp",   // Name of the group
      "Administrators of the app",   // Description of the group
      {"%CN%jill.muller@example.com","%CN%ivan.novak@example.com","%ATTR%role=admin"},
      []string{"AllowAdmins"},   // The ACL for the group

    }

  **groupMgr**  := chaincodeACL.NewGroupManager(nil, stub)   // Not specify identity, use caller's identity as default.
  err :=  **groupMgr**.Create( **newGroup** , bob\_garcia\_certificate)   // Using a specific certificate

...
}

Cet appel utilise une identité explicite - celle de Bob Garcia (en utilisant son certificat) - pour essayer de créer un nouveau groupe. Comme Bob Garcia correspond à un modèle dans l'ACL AllowAdmins et que les membres de cette ACL peuvent effectuer des opérations CREATE sur le groupe d'amorce .Groups, cet appel réussira. Si Jim Silva - qui n'était pas dans l'unité d'organisation example.com ni dans le groupe AdminGrp (qui n'existe toujours pas) - avait passé son certificat comme dernier argument, l'appel échouerait car il n'a pas les autorisations appropriées. Cet appel va créer un nouveau groupe appelé "AdminGrp" avec les membres initiaux du groupe étant jill.muller@example.com et ivan.novak@example.com ou toute personne avec l'attribut (ABAC) role=admin.

Créer une ressource

import "chaincodeACL"
...
{

  ...
  **newResource**  :=  **chaincodeACL**.Resource{

      "transferMarble", // Name of resource to create

      "The transferMarble chaincode function", // Description of the resource

      []string{"AllowAdmins"}, // Single ACL for now allowing admins

  }

  **resourceMgr**  :=  **chaincodeACL**.NewResourceManager(nil, stub)  // Not specify identity, use caller's identity as default.
  err :=  **resourceMgr**.Create(resourceMgr, nil)   // Using caller's certificate

  ...
}

Cette opération créerait une ressource nommée transferMarble que l'application pourrait utiliser pour contrôler l'accès à la fonction de code chaîne transferMarble. L'accès est actuellement limité par la liste de contrôle d'accès AllowAdmins.

Vérifier l'accès à une ressource

Nous pouvons utiliser cette nouvelle ressource dans notre code chaîne pour autoriser uniquement les administrateurs à transférer une bille en modifiant la méthode invoke() du code chaîne Marbles comme suit : 

import "chaincodeACL"
…
func (t \*SimpleChaincode) Invoke(stub shim.ChaincodeStubInterface) pb.Response {

  **resourceMgr**  :=  **chaincodeACL**.NewResourceManager(nil, stub)   // Not specify identity, use caller's identity as default.

  function, args := stub.GetFunctionAndParameters()

  fmt.Println("invoke is running " + function)        // Handle different functions

  if function == "initMarble" {   //create a new marble

      return t.initMarble(stub, args)}

  else if function == " **transferMarble**" { //change owner of a specific marble

    **allowed** , err : =  **resourceMgr**. **CheckAccess** ("transferMarble", "UPDATE", nil)
    if  **allowed**  == true {

      return t.transferMarble(stub, args)

    else {

      return NOACCESS

    }

    } else if function == "transferMarblesBasedOnColor" { //transfer all marbles of a certain color
    …

    }

}