Desplegando ms-rbac: Autorización Dinámica en Tiempo Real

Jul 24, 2025 - 6 min read - 916 words

Wilzon Liscano Galindo

Founder of CodeDesignPlus

Con los roles definidos por ms-roles, ahora necesitamos el “guardia de seguridad” que decida qué puede hacer cada rol. Desplegaremos ms-rbac (Role-Based Access Control), el microservicio responsable de gestionar la asignación de permisos a los roles.

ms-rbac actúa como la fuente de verdad central para la autorización. Mientras que la autenticación (quién eres) es manejada por Entra ID, la autorización (qué puedes hacer) es gobernada por ms-rbac. Este servicio permite definir políticas granulares, como “el rol ‘Editor’ puede hacer POST en /api/products pero no DELETE”.

El Mecanismo de Autorización en Tiempo Real

La verdadera magia de ms-rbac se revela en cómo interactúa con el resto del ecosistema a través de la biblioteca CodeDesignPlus.Net.Security, que está integrada en todos nuestros microservicios.

Este diagrama ilustra un flujo inteligente y optimizado:

1. Sincronización en Segundo Plano: Cada microservicio (ej. ms-users) tiene un RefreshRbacBackgroundService corriendo. Periódicamente, este servicio realiza una llamada gRPC a ms-rbac para obtener la lista actualizada de permisos que le conciernen.
2. Caché en Memoria: Los permisos obtenidos se almacenan en la memoria del microservicio. Esto es una optimización de rendimiento crucial: evita que se tenga que llamar a ms-rbac en cada petición entrante.
3. Petición Entrante: Cuando una petición llega a un endpoint de ms-users, un middleware de RBAC se activa.
4. Validación Local: El middleware consulta la caché en memoria para verificar si los roles del usuario (obtenidos del token JWT) tienen los permisos necesarios para acceder a ese endpoint específico. Si los tienen, la petición continúa; si no, se devuelve un error 403 Forbidden.

Controlando el Comportamiento desde la Configuración

La biblioteca CodeDesignPlus.Net.Security permite a los desarrolladores controlar finamente este mecanismo de RBAC a través de la configuración appsettings.json, que puede ser sobrescrita por secretos de Vault o por las variables de entorno. Las dos propiedades más importantes son:

• Security:ValidateRbac: Este es el interruptor principal. Cuando se establece en true, se activa el RbacMiddleware, que interceptará cada petición entrante para realizar la validación de permisos contra la caché en memoria. Si se establece en false, el middleware se desactiva, útil para entornos de desarrollo o endpoints públicos.

• Security:RefreshRbacInterval: Esta propiedad controla la frecuencia con la que el RefreshRbacBackgroundService se conecta a ms-rbac para actualizar su caché de permisos. Se define en segundos. Un valor más bajo significa que los cambios de permisos se reflejan más rápido en todo el ecosistema, a costa de un mayor tráfico gRPC. Un valor más alto reduce la carga pero aumenta la latencia en la propagación de cambios.

Puedes explorar estas y otras opciones en el código fuente de SecurityOptions.cs.

Un Vistazo a la Arquitectura de ms-rbac

Flujo de la API a los Casos de Uso (CQRS)

• REST y gRPC: ms-rbac expone una API REST para la gestión de permisos y una API gRPC optimizada para que otros servicios consulten las políticas de autorización.
• Casos de Uso: La lógica se separa en Commands (para crear/modificar políticas) y Queries (para consultar permisos).

El Modelo de Dominio

El RbacAggregate es el corazón del dominio. Gestiona una lista de RbacPermissionEntity, que asocia un Role con un Resource (un endpoint específico definido por su Módulo, Servicio, Controlador y Método HTTP).

Despliegue y Configuración Paso a Paso

1. Configurando los Secretos en Vault ms-rbac requiere las credenciales base para conectarse a RabbitMQ, Redis y MongoDB.

   vault kv put -mount=inventory-keyvalue ms-roles `
       "RabbitMQ:UserName=<USERNAME_FROM_RABBITMQ_SECRET>" `
       "RabbitMQ:Password=<PASSWORD_FROM_RABBITMQ_SECRET>" `
       "Redis:Instances:Core:ConnectionString=<CONNECTION_STRING_FROM_REDIS>" `
       "Mongo:ConnectionString=<VAULT_TRANSIT_PASSWORD>"

   

   Verificamos que los secretos se hayan guardado correctamente en la interfaz web de Vault.

   

2. Desplegando los Entrypoints con Helm Desplegaremos los dos entrypoints de ms-rbac: REST para gestión y gRPC para la comunicación interna.

   • Preparar los Archivos values.yaml Necesitamos dos archivos, values-rest.yaml y values-grpc.yaml, muy similares a los que usamos para ms-services. El primero incluirá la configuración del VirtualService para la API REST, mientras que el segundo solo contendrá la configuración base.

   • Ejecutar el Despliegue con Helm Instalamos ambos charts en el namespace inventory.

     # Desplegar el entrypoint REST
     helm upgrade --install ms-rbac-rest codedesignplus/ms-rbac-rest -f ./values-rest.yaml --namespace inventory
     
     # Desplegar el entrypoint gRPC
     helm upgrade --install ms-rbac-grpc codedesignplus/ms-rbac-grpc -f ./values-grpc.yaml --namespace inventory

     

Parte 3: Verificación del Despliegue

1. Verificar los Pods en Lens En Lens, bajo “Workloads > Pods”, ahora vemos los dos nuevos pods, ms-rbac-rest y ms-rbac-grpc, corriendo en el namespace inventory.

   

2. Verificar el VirtualService de Istio El Helm chart de ms-rbac-rest ha creado automáticamente el VirtualService. En Lens, podemos ver la nueva regla que enruta el tráfico para /ms-rbac/.

   

3. Probar el Acceso a la API

   • Endpoint de Salud: Verificamos que el servicio está vivo accediendo a su endpoint de salud: https://services.codedesignplus.app/ms-rbac/health/ready

     Deberías ver una respuesta “Healthy”.

     

   • Swagger UI: Para explorar la API de gestión, usamos la interfaz de Swagger UI: https://services.codedesignplus.app/ms-rbac/index.html

     Aquí puedes ver todos los endpoints disponibles para crear políticas de RBAC, asociando Roles a Permisos específicos.

     

Conclusión

Has desplegado ms-rbac, el servicio que completa nuestro ciclo de identidad y acceso. Con ms-roles definiendo quién es quién y ms-rbac definiendo quién puede hacer qué, hemos sentado las bases para una seguridad a nivel de aplicación extremadamente granular y flexible.

Más importante aún, hemos visto cómo el SDK de CodeDesignPlus.Net.Security abstrae esta complejidad, proporcionando a los desarrolladores un mecanismo de autorización en tiempo real, optimizado y automático. En los próximos artículos, veremos cómo ms-users y otros servicios se benefician de esta potente integración.

Tags:

• Microservices
• CodeDesignPlus
• RBAC
• Authorization
• gRPC
• Helm
• Vault

Desplegando ms-roles: El Corazón del Control de Acceso

Desplegando ms-locations: La Base Geográfica del Ecosistema