【发布时间】:2018-09-25 18:00:57
【问题描述】:
我想知道 Fabric 或 Composer 如何执行访问控制逻辑 (ACL)。在我阅读文档时,ACL 是一种控制通道内对等点的权限的方法。当我作为对等方拥有分类帐的本地副本时,什么会阻止我读取本地拥有的数据,尽管在 ACL 中我被拒绝访问?在这种情况下,我只谈论 ACL,而不使用新功能私有数据集合。
感谢您的帮助。
非常感谢。
【问题讨论】:
标签: hyperledger-fabric hyperledger
【发布时间】:2018-09-25 18:00:57
【问题描述】:
如果您有权访问本地数据,没有什么可以阻止您读取本地数据。
Hyperledger Fabric 中的 ACL 强制通过 policy evaluation 工作 - ACL 只是一个策略,对于网络节点(peer 或 orderer)执行的每个操作 - 它会咨询策略以确定请求者是否数据符合政策。
请注意,如果数据可以通过具有许可策略的其他操作获取,则任何数据隔离机制本身都可能是不够的。一个很好的例子是,如果您有一个链代码来检查客户端是否来自某个组织,但该客户端的证书满足“通道读取器”策略 - 然后客户端可以只从排序服务本身请求块 - 并且只是读取数据块后,自行计算客户端想要的数据。
【讨论】:
-
你的意思是,尽管对等体有一个本地副本 opf 数据,但如果它没有 ACL 中定义的所需权限,它仍然无法读取它?
每个节点都可以读取他的本地数据,但是当涉及到存储在账本节点上的数据时,未经许可就无法读取该数据。实际上,作为对等节点,您只能访问和存储分类帐的一部分,而不是全部可用。
【讨论】: