Amostra de Mármores de Controle de Acesso Refinado

O aplicativo de chaincode de mármores permite que você crie ativos (mármore) com atributos exclusivos (nome, tamanho, cor e proprietário) e troque esses ativos com outros participantes em uma rede blockchain.

Este aplicativo de amostra inclui uma variedade de funções para permitir que você examine como trabalhar com listas de controle de acesso e grupos para restringir funções a determinados usuários.

Visão Geral da Amostra

O cenário de teste incluído na amostra contém as seguintes restrições para gerenciar ativos:

  • A transferência em massa de mármores vermelhos só é permitida por identidades que têm o atributo "redMarblesTransferPermission" Fabric.
  • A transferência em massa de mármores azuis só é permitida por identidades que têm o atributo "blueMarblesTransferPermission" Fabric.
  • A exclusão de mármores só é permitida para identidades com o atributo "deleteMarblePermission" Fabric.

Essas restrições são impostas pela implementação dos seguintes métodos de biblioteca no chaincode fgMarbles_chaincode.go:

  • Crie um grupo de ACL detalhado denominado bulkMarblesTransferGroup. Este grupo definirá todas as identidades que podem transferir mármores com base na cor (transferências em massa):
    createGroup(stub, []string{" bulkMarblesTransferGroup", 
    "List of Identities allowed to Transfer Marbles in Bulk", 
    "%ATTR%redMarblesTransferPermission=true, %ATTR%blueMarblesTransferPermission=true", ".ACLs"})
  • Crie uma ACL refinada denominada redMarblesAcl, que permite transferência em massa de acesso aos mármores vermelhos para bulkMarblesTransferGroup:
    createACL(stub, []string{"redMarblesAcl", 
    "ACL to control who can transfer red marbles in bulk", 
    "redMarblesTransferPermission", "%GRP%bulkMarblesTransferGroup", "true", ".ACLs"})
  • Crie uma ACL refinada denominada blueMarblesAcl que permite transferência em massa de acesso aos mármores azuis a bulkMarblesTransferGroup:
    createACL(stub, []string{"blueMarblesAcl", 
    "ACL to control who can transfer blue marbles in bulk", 
    "blueMarblesTransferPermission", "%GRP%bulkMarblesTransferGroup", "true", ".ACLs"})
  • Crie uma ACL refinada denominada deleteMarbleAcl para restringir a exclusão de mármore com base no atributo Fabric "canDeleteMarble=true":
    createACL(stub, []string{"deleteMarbleAcl", 
    "ACL to control who can Delete a Marble", 
    "deleteMarblePermission", "%ATTR%deleteMarblePermission=true", "true", ".ACLs"})
  • Crie um recurso de ACL detalhado chamado marble, cujas operações são controladas usando as várias ACLs que criamos:
    createResource(stub, []string{"marble", 
    "System marble resource", 
    "deleteMarbleAcl,blueMarblesAcl,redMarblesAcl,.ACLs"})

Pré-requisitos e Configuração

Para executar a versão refinada do controle de acesso da amostra de mármores, execute estas etapas:

  1. Faça download da versão refinada do controle de acesso da amostra de mármores. Na página Ferramentas de Desenvolvedor, abra o painel Amostras e clique no link de download em Marbles com ACLs Detalhadas. Extraia este pacote, que contém arquivos .zip da amostra de mármores (fgACL_MarbleSampleCC.zip), arquivos Node.js para executar a amostra (fgACL-NodeJSCode.zip) e a biblioteca de controle de acesso refinada (Fine-GrainedAccessControlLibrary.zip).
  2. Gere o pacote chaincode que será implantado no Oracle Blockchain Platform:
    • Extraia o conteúdo do arquivo fgACL_MarbleSampleCC.zip para o diretório fgACL_MarbleSampleCC. O conteúdo do diretório fgACL_MarbleSampleCC será os arquivos fgACL_Operations.go, fgGroups_Operations.go, fgMarbles_chaincode.go,fgResource_Operations.go e go.mod e o diretório oracle.com.
    • Na linha de comando, vá para o diretório fgACL_MarbleSampleCC e execute GO111MODULE=on go mod vendor. Esse comando faz download das dependências necessárias e as adiciona ao diretório vendor.
    • Compacte todo o conteúdo (os quatro arquivos Go, o arquivo go.mod e os diretórios vendor e oracle.com) do diretório fgACL_MarbleSampleCC no formato ZIP. Seu chaincode está pronto para ser implantado no Oracle Blockchain Platform.
  3. Instale e implante o pacote de chaincode de amostra atualizado (fgACL_MarbleSampleCC.zip), conforme descrito em Usar Implantação Rápida.
  4. Na página Ferramentas de Desenvolvedor, abra o painel Desenvolvimento de Aplicativos e siga as instruções para fazer download do SDK Node.js.
  5. Na página Ferramentas de Desenvolvedor, abra o painel Desenvolvimento de Aplicativos e clique em Fazer Download do pacote de desenvolvimento.
    1. Extraia o pacote de desenvolvimento na mesma pasta com os arquivos Node.js baixados com a amostra.
    2. No arquivo network.yaml, procure a entrada certificateAuthorities e sua entrada registrar. A senha do administrador é mascarada (convertida para ***) no network.yaml quando é feito download. Substitua essa senha pela senha de texto não criptografado do administrador ao executar essa amostra.
  6. Registre uma nova identidade com sua instância do Oracle Blockchain Platform:
    1. Crie um usuário no IDCS (conhecido como <NewIdentity> nas etapas a seguir) no IDCS mapeado para sua tenancy.
    2. Dê a esse usuário a atribuição de aplicativo CA_User para sua instância.

Implementar a Amostra de Mármore de Controle de Acesso Refinado

Siga as etapas abaixo para inscrever seu novo usuário e implementar as restrições de ACL usando os scripts Node.js fornecidos.

  1. Registrar o novo usuário:
    node registerEnrollUser.js <NewIdentity> <Password>
  2. Inicialização: Inicialize as listas de controle de acesso.
    node invokeQueryCC.js <NewIdentity> <Password> <ChannelName> <ChaincodeName> ACLInitialization
  3. Crie as listas de controle de acesso, os grupos e os recursos: Isso cria os recursos de ACL descritos na visão geral.
    node invokeQueryCC.js <NewIdentity> <Password> <ChannelName> <ChaincodeName> createFineGrainedAclSampleResources
  4. Crie seus recursos de mármore de teste: Isso cria vários ativos de mármore de teste - blue1 e blue2 de propriedade de tom, red1 e red2 de propriedade de jerry e green1 e green2 de propriedade de spike.
    node invokeQueryCC.js <NewIdentity> <Password> <ChannelName> <ChaincodeName> createTestMarbles

Testando o Controle de Acesso

Para testar se nossas listas de controle de acesso permitem que apenas os usuários corretos executem cada função, execute alguns exemplos de cenários.

  1. Transferir um mármore: Transfira o mármore blue1 do tom para o jerry. Como não há restrições sobre quem pode transferir um único mármore, isso é concluído com sucesso.
    node invokeQueryCC.js <NewIdentity> <Password> <ChannelName> <ChaincodeName> transferMarble blue1 jerry
  2. Transferir um mármore como o usuário administrativo: Transfira o mármore blue1 de jerry para spike. Como não há restrições sobre quem pode transferir um único mármore, isso também é concluído com sucesso.
    node invokeQueryCC.js <AdminIdentity> <Password> <ChannelName> <ChaincodeName> transferMarble blue1 spike
  3. Obter histórico: Consulte o histórico do mármore chamado blue1. Ele retorna que foi transferido primeiro para Jerry, em seguida, para pico.
    node invokeQueryCC.js <AdminIdentity> <Password> <ChannelName> <ChaincodeName> getHistoryForMarble blue1
  4. Transferir todos os mármores vermelhos: A ACL redMarblesAcl permite essa transferência porque a identidade recém-registrada tem o atributo Fabric "redMarblesTransferPermission=true" necessário, portanto, os dois mármores vermelhos serão transferidos para o tom.
    node invokeQueryCC.js <NewIdentity> <Password> <ChannelName> <ChaincodeName> transferMarblesBasedOnColor red tom
  5. Transferir todos os mármores vermelhos como o usuário administrativo: A identidade administrativa não tem o atributo "redMarblesTransferPermission=true" Fabric, portanto, a ACL redMarblesAcl bloqueia essa transferência.
    node invokeQueryCC.js <AdminIdentity> <Password> <ChannelName> <ChaincodeName> transferMarblesBasedOnColor red jerry
  6. Transferir todos os mármores verdes: Por padrão, somente o acesso definido explicitamente é permitido. Como não há um ACL que permita a transferência em massa de mármores verdes, isso falha.
    node invokeQueryCC.js <NewIdentity> <Password> <ChannelName> <ChaincodeName> transferMarblesBasedOnColor green tom
  7. Excluir um mármore: a ACL deleteMarbleAcl permite essa exclusão porque a identidade recém-registrada tem o atributo Fabric "deleteMarblePermission=true" necessário.
    node invokeQueryCC.js <NewIdentity> <Password> <ChannelName> <ChaincodeName> delete green1
  8. Excluir um mármore como usuário administrativo: A ACL deleteMarbleAcl impede essa exclusão porque a identidade administrativa não tem o atributo Fabric "deleteMarblePermission=true" necessário.
    node invokeQueryCC.js < AdminIdentity > <Password> <ChannelName> <ChaincodeName> delete green2

Referência dos Arquivos de Amostra

Essas tabelas listam os métodos disponíveis no chaincode e nos arquivos de aplicativo incluídos na amostra.

fgMarbles_chaincode.go

Função Descrição
initMarble Criar um mármore
transferMarble Transferir um mármore de um proprietário para outro com base no nome
createTestMarbles Chama o initMarble para criar mármores de amostra para fins de teste
createFineGrainedAclSampleResources Cria a lista detalhada de controle de acesso (ACL), os grupos e os recursos exigidos por nosso cenário de teste
transferMarblesBasedOnColor Transfere vários mármores de uma determinada cor para outro proprietário
delete Excluir um mármore
readMarble Retorna todos os atributos de um mármore com base no nome
getHistoryForMarble Retorna um histórico de valores para um mármore

fgACL_Operations.go

Métodos Parâmetros Descrição
getACL
  • name
Obter uma ACL nomeada ou ler todas as ACLs. O usuário que está chamando o método deve ter acesso READ à ACL nomeada.
createACL
  • name
  • description
  • accesses
  • patterns
  • allowed
  • BindACLs
  • Identity_Certificate
Para criar uma ACL, o usuário que está chamando o método deve ter acesso CREATE ao recurso de bootstrap chamado ". ACLs". Não são permitidas ACLs nomeadas duplicadas
deleteACL
  • name
O usuário que está chamando o método deve ter acesso DELETE à ACL nomeada.
updateACL
  • name
  • description
  • accesses
  • patterns
  • allowed
  • BindACLs
O usuário que está chamando o método deve ter acesso UPDATE ao recurso nomeado, e a ACL nomeada deve existir.
addAfterACL
  • aclName
  • existingBindAclName
  • newBindAclName
O usuário que está chamando o método deve ter acesso UPDATE ao recurso nomeado, e a ACL nomeada deve existir.
addBeforeACL
  • aclName
  • existingBindAclName
  • newBindAclName
O usuário que está chamando o método deve ter acesso UPDATE ao recurso nomeado, e a ACL nomeada deve existir.
addPatternToACL
  • aclName
  • BindPattern
O usuário que está chamando o método deve ter acesso UPDATE ao recurso nomeado, e a ACL nomeada deve existir.
removePatternFromACL
  • aclName
  • BindPattern
O usuário que está chamando o método deve ter acesso UPDATE ao recurso nomeado, e a ACL nomeada deve existir.
updateDescription
  • aclName
  • newDesc
O usuário que está chamando o método deve ter acesso UPDATE ao recurso nomeado, e a ACL nomeada deve existir.
removeBindACL
  • aclName
  • bindAclNameToRemove
O usuário que está chamando o método deve ter acesso UPDATE ao recurso nomeado, e a ACL nomeada deve existir.
addAccess
  • aclName
  • accessName
O usuário que está chamando o método deve ter acesso UPDATE ao recurso nomeado, e a ACL nomeada deve existir.
removeAccess
  • aclName
  • accessName
O usuário que está chamando o método deve ter acesso UPDATE ao recurso nomeado, e a ACL nomeada deve existir.
ACLInitialization
  • nenhuma
Esta função é usada para inicializar o suporte refinado à ACL.

fgGroups_Operations.go

Métodos Parâmetros Descrição
getGroup
  • name

Se name="GetAll", ele retornará todos os grupos aos quais a identidade tem acesso. Caso contrário, ele retornará os detalhes do grupo individual (se acessíveis) com base no nome.

O usuário que está chamando o método deve ter acesso READ a este grupo.

createGroup
  • name
  • description
  • patterns
  • bindACLs

Retorna success ou error.

O usuário que está chamando o método deve ter acesso CREATE ao grupo de inicialização ". Group"

deleteGroup
  • name
O usuário que está chamando o método deve ter acesso DELETE a este grupo.
addAfterGroup
  • groupName
  • existingBindAclName
  • newBindAclName
O usuário que está chamando o método deve ter acesso UPDATE a este grupo.
addBeforeGroup
  • groupName
  • existingBindAclName
  • newBindAclName
O usuário que está chamando o método deve ter acesso UPDATE a este grupo.
updateDescriptionForGroup
  • groupName
  • newDesc
O usuário que está chamando o método deve ter acesso UPDATE a este grupo.
removeBindAclFromGroup
  • groupName
  • bindAclNameToRemove
O usuário que está chamando o método deve ter acesso UPDATE a este grupo.
addMembersToGroup
  • groupName
  • pattern
O usuário que está chamando o método deve ter acesso UPDATE a este grupo.
removeMembersFromGroup
  • groupName
  • pattern
O usuário que está chamando o método deve ter acesso UPDATE a este grupo.

fgResource_Operations.go

Métodos Parâmetros Descrição
createResource
  • name
  • description
  • bindACLs
O usuário que está chamando o método deve ter acesso CREATE ao recurso de bootstrap chamado ". Resources". Recursos nomeados duplicados não são permitidos.
getResource
  • name
O usuário que está chamando o método deve ter acesso READ ao recurso
deleteResource
  • name
O usuário que está chamando o método deve ter acesso DELETE ao recurso nomeado
addAfterACLInResource
  • ResourceName
  • existingBindAclName
  • newBindAclName
O usuário que está chamando o método deve ter acesso UPDATE a este recurso
addBeforeACLInResource
  • ResourceName
  • existingBindAclName
  • newBindAclName
O usuário que está chamando o método deve ter acesso UPDATE a este recurso
updateDescriptionInResource
  • ResourceName
  • newDesc
O usuário que está chamando o método deve ter acesso UPDATE a este recurso
removeBindACLInResource
  • ResourceName
  • bindAclNameToRemove
O usuário que está chamando o método deve ter acesso UPDATE a este recurso
checkResourceAccess
  • ResourceName
  • access
Verifica se o usuário atual que está chamando o método tem o acesso especificado ao recurso nomeado.