{"id":16726,"date":"2025-01-01T22:07:24","date_gmt":"2025-01-02T06:07:24","guid":{"rendered":"https:\/\/www.couchbase.com\/blog\/?p=16726"},"modified":"2025-06-16T10:43:35","modified_gmt":"2025-06-16T17:43:35","slug":"permit-io-couchbase-access-control","status":"publish","type":"post","link":"https:\/\/www.couchbase.com\/blog\/pt\/permit-io-couchbase-access-control\/","title":{"rendered":"Como adicionar RBAC externo aos dados do Couchbase usando o Permit.io"},"content":{"rendered":"

\u00c0 medida que os aplicativos da Web aumentam em complexidade, \u00e9 essencial garantir que somente os usu\u00e1rios certos tenham acesso aos dados do Couchbase.<\/span><\/p>\n

Sem um sistema de controle de acesso bem definido, usu\u00e1rios n\u00e3o autorizados podem acessar informa\u00e7\u00f5es confidenciais ou realizar a\u00e7\u00f5es prejudiciais.<\/span><\/p>\n

Integra\u00e7\u00e3o <\/span>Permiss\u00e3o<\/span><\/a> com o Couchbase oferece uma solu\u00e7\u00e3o robusta para gerenciar o controle de acesso em aplicativos que utilizam o Couchbase como banco de dados. O Permit foi projetado para simplificar o processo de autoriza\u00e7\u00e3o, permitindo que os desenvolvedores implementem um controle de acesso refinado e, ao mesmo tempo, aproveitem os recursos avan\u00e7ados de gerenciamento de dados do Couchbase.<\/span><\/p>\n

Neste guia, vamos criar um sistema de solicita\u00e7\u00e3o simples em que passamos uma consulta do Couchbase e verificamos se o usu\u00e1rio relevante tem acesso para executar essa consulta com base em verifica\u00e7\u00f5es de formato baseadas em regras. Se o usu\u00e1rio n\u00e3o tiver permiss\u00e3o, ele ser\u00e1 impedido de executar a consulta; se tiver permiss\u00e3o, poder\u00e1 prosseguir.<\/span><\/p>\n

O que \u00e9 o Couchbase?<\/span><\/h2>\n

O Couchbase \u00e9 um banco de dados NoSQL robusto, otimizado para armazenar e gerenciar documentos JSON. Sua capacidade de lidar com objetos JSON \u00e9 o que o diferencia dos armazenamentos tradicionais de valores-chave. Essa flexibilidade permite que os desenvolvedores armazenem, recuperem e gerenciem facilmente dados n\u00e3o estruturados ou semiestruturados, o que o torna extremamente \u00fatil para aplicativos com modelos de dados em evolu\u00e7\u00e3o.<\/span><\/p>\n

Um dos principais pontos fortes do Couchbase \u00e9 sua <\/span>Capacidade de consulta SQL++<\/span><\/a> que fornece uma sintaxe familiar semelhante ao SQL para documentos JSON (anteriormente conhecido como N1QL). Isso permite que os desenvolvedores realizem consultas avan\u00e7adas em seus dados JSON, como a possibilidade de adicionar express\u00f5es de tabela comuns, uni\u00f5es e muito mais. Essa camada de consulta do Couchbase permite que os dados sejam armazenados no formato JSON e, ao mesmo tempo, oferece suporte a consultas sofisticadas.<\/span><\/p>\n

O que \u00e9 RBAC?<\/span>
\n<\/span><\/h2>\n

Controle de acesso baseado em fun\u00e7\u00e3o (RBAC) <\/span><\/a>\u00e9 um modelo que ajuda a simplificar o gerenciamento de permiss\u00f5es dentro dos aplicativos, organizando as permiss\u00f5es do sistema em torno de fun\u00e7\u00f5es e n\u00e3o de indiv\u00edduos espec\u00edficos. Ele oferece uma abordagem para gerenciar e restringir o acesso a recursos espec\u00edficos em um determinado aplicativo ou organiza\u00e7\u00e3o.<\/span><\/p>\n

Para implementar o controle de acesso externo baseado em fun\u00e7\u00e3o com o Couchbase, utilizaremos <\/span>Permiss\u00e3o.io<\/span><\/a>uma solu\u00e7\u00e3o completa para gerenciar permiss\u00f5es e fun\u00e7\u00f5es de usu\u00e1rios com uma interface de usu\u00e1rio simples. Criaremos um aplicativo React com o pacote Express em que o usu\u00e1rio passa a consulta SQL++ com a ajuda do Couchbase. Em seguida, veremos se o usu\u00e1rio tem a permiss\u00e3o relevante. Se n\u00e3o tiver, enviaremos uma mensagem. Se tiver, poderemos modificar a solicita\u00e7\u00e3o.<\/span><\/p>\n

Configurar um cluster do Couchbase<\/span><\/h2>\n

A primeira etapa \u00e9 criar uma conta Capella gratuita. Para isso, navegue at\u00e9 <\/span>cloud.couchbase.com <\/span><\/a>e escolha <\/span>Criar conta<\/b>Use uma combina\u00e7\u00e3o de e-mail e senha. Voc\u00ea tamb\u00e9m pode se inscrever com sua conta do GitHub ou do Google.<\/span><\/p>\n

Depois de criar sua conta no Capella, voc\u00ea pode prosseguir com a cria\u00e7\u00e3o do cluster do banco de dados. Voc\u00ea pode escolher o <\/span>N\u00edvel gratuito<\/span><\/i> para o cluster.<\/span><\/p>\n

\"\"<\/a><\/p>\n

Na p\u00e1gina inicial de sua conta, depois de fazer login, clique no bot\u00e3o<\/span> + Criar banco de dados<\/b> no canto superior direito e preencha os detalhes necess\u00e1rios, inclusive o nome que voc\u00ea escolheu para o banco de dados.<\/span><\/p>\n

Quando estiver pronto, clique no bot\u00e3o final <\/span>Criar banco de dados<\/b> bot\u00e3o.<\/span>
\n\"\"<\/a><\/p>\n

Agora voc\u00ea criou um cluster. A pr\u00f3xima etapa \u00e9 adicionar um bucket para armazenar seus dados. Um bucket \u00e9 semelhante a uma tabela de banco de dados, mas com diferen\u00e7as significativas. Como voc\u00ea est\u00e1 trabalhando com dados JSON n\u00e3o estruturados e semiestruturados, um \u00fanico bucket pode conter diversos tipos de dados.<\/span><\/p>\n

V\u00e1 at\u00e9 o site <\/span>Ferramentas de dados<\/b> onde voc\u00ea encontrar\u00e1 um conjunto de dados pr\u00e9-importado conhecido como <\/span>amostra de viagem<\/span><\/i> conjunto de dados.<\/span><\/p>\n

\"\"<\/a><\/p>\n

Voc\u00ea pode inserir mais documentos ou criar baldes completamente novos, se necess\u00e1rio. Mas, para esta demonstra\u00e7\u00e3o, usaremos o <\/span>amostra de viagem<\/span><\/i> conjunto de dados.<\/span><\/p>\n

A figura a seguir ilustra a rela\u00e7\u00e3o entre os diferentes tipos de documentos no conjunto de dados de amostra de viagem. Ela mostra os campos de chave prim\u00e1ria, ID e tipo que cada documento possui, juntamente com alguns outros campos representativos em cada tipo de documento.<\/span><\/p>\n


\"\"<\/a><\/p>\n

Usaremos esse conjunto de dados em nossa demonstra\u00e7\u00e3o. Para interagir com os dados no Capella a partir do seu aplicativo, voc\u00ea precisa conhecer a string de conex\u00e3o e criar credenciais de acesso.<\/span><\/p>\n

Voc\u00ea pode encontrar a string de conex\u00e3o clicando no \u00edcone <\/span>Conectar<\/b> na barra de navega\u00e7\u00e3o superior do painel.<\/span><\/p>\n

Para adicionar credenciais de acesso, navegue at\u00e9 essa p\u00e1gina em suas configura\u00e7\u00f5es do Capella, conforme mostrado abaixo, e clique no bot\u00e3o <\/span>+ Criar acesso ao banco de dados<\/b> bot\u00e3o. Forne\u00e7a um nome e uma senha e clique em <\/span>Salvar<\/b>. Certifique-se de adicionar imediatamente as credenciais a um <\/span>.env<\/span><\/i> pois voc\u00ea n\u00e3o conseguir\u00e1 recuperar a senha novamente depois disso.<\/span><\/p>\n

\"\"<\/a><\/p>\n

Depois de criar suas credenciais, a configura\u00e7\u00e3o do Capella estar\u00e1 conclu\u00edda. Vamos passar para a parte do RBAC!<\/span><\/p>\n

Configurar permiss\u00f5es RBAC no Permit.io<\/span><\/h2>\n

Certifique-se de ter configurado sua conta em <\/span>Permiss\u00e3o.io <\/span><\/a>e criou um projeto. Nesta demonstra\u00e7\u00e3o, usaremos o projeto padr\u00e3o que foi criado.<\/span><\/p>\n

V\u00e1 para a se\u00e7\u00e3o Policy Editor e, na se\u00e7\u00e3o Resources (Recursos), adicione os recursos relevantes correspondentes ao <\/span>amostra de viagem<\/span><\/i> conjunto de dados.<\/span><\/p>\n

\"\"<\/a><\/p>\n

Nesse caso, adicionaremos os recursos como <\/span>Rota<\/span><\/i>, <\/span>Aeroporto<\/span><\/i>, <\/span>Hotel,<\/span><\/i> e <\/span>Companhia a\u00e9rea<\/span><\/i>.<\/span><\/p>\n

\"\"<\/a><\/p>\n

Certifique-se de que voc\u00ea adicionou as a\u00e7\u00f5es relevantes.<\/span><\/p>\n

Em seguida, v\u00e1 at\u00e9 o <\/span>Fun\u00e7\u00f5es<\/b> para adicionar as fun\u00e7\u00f5es de usu\u00e1rio espec\u00edficas associadas ao conjunto de dados de amostra de viagem.<\/span><\/p>\n

Para o conjunto de dados que estamos usando, voc\u00ea precisar\u00e1 adicionar as seguintes fun\u00e7\u00f5es: <\/span>Viajante<\/span><\/i>, <\/span>Agente de viagens<\/span><\/i>, <\/span>Equipe da companhia a\u00e9rea<\/span><\/i> e <\/span>Equipe do hotel<\/span><\/i>.<\/span><\/p>\n


\"\"<\/a>Agora, v\u00e1 at\u00e9 o site <\/span>Editor de pol\u00edticas<\/b> e defina as defini\u00e7\u00f5es relevantes de controle de acesso baseado em fun\u00e7\u00e3o para cada fun\u00e7\u00e3o espec\u00edfica correspondente aos recursos definidos. Voc\u00ea pode consultar a imagem abaixo para ver os atributos espec\u00edficos que ajudar\u00e3o a criar as pol\u00edticas. Em seguida, v\u00e1 para a se\u00e7\u00e3o <\/span>Editor de pol\u00edticas<\/b>Marque todas as caixas de sele\u00e7\u00e3o, conforme mostrado abaixo, e salve as altera\u00e7\u00f5es.<\/span><\/p>\n

\"\"<\/a><\/p>\n

Em seguida, v\u00e1 para a se\u00e7\u00e3o de diret\u00f3rio para criar um novo locat\u00e1rio. Depois de criar o locat\u00e1rio, adicione usu\u00e1rios com base em suas fun\u00e7\u00f5es.<\/span><\/p>\n

Criaremos novos usu\u00e1rios para funcion\u00e1rios de hot\u00e9is, agentes de viagens e viajantes.<\/span><\/p>\n


\"\"<\/a><\/p>\n

Para cada usu\u00e1rio, adicione seu e-mail, nome, sobrenome e fun\u00e7\u00e3o espec\u00edfica na se\u00e7\u00e3o de acesso de n\u00edvel superior.<\/span><\/p>\n

Isso \u00e9 tudo o que \u00e9 necess\u00e1rio para criar um modelo de controle de acesso baseado em fun\u00e7\u00e3o (RBAC) para o conjunto de dados de amostra de viagem usando a interface do usu\u00e1rio do Permit.<\/span><\/p>\n

Implementa\u00e7\u00e3o de RBAC refinado para Couchbase com Permit.io<\/span><\/h2>\n

Agora vamos implementar nosso analisador de consultas SQL++ do Couchbase com o Permit.<\/span><\/p>\n

Primeiro, configuraremos um projeto Node.js com o Express para nosso servidor de backend. Usaremos o SDK do Couchbase para Node.js e o SDK do Permit.io.<\/span><\/p>\n

Aqui est\u00e1 o nosso <\/span>package.json<\/span><\/i> com as depend\u00eancias necess\u00e1rias:<\/span><\/p>\n

{\r\n  \"name\": \"backend\",\r\n  \"version\": \"1.0.0\",\r\n  \"main\": \"index.js\",\r\n  \"scripts\": {\r\n    \"test\": \"echo \\\"Error: no test specified\\\" && exit 1\"\r\n  },\r\n  \"keywords\": [],\r\n  \"author\": \"\",\r\n  \"license\": \"ISC\",\r\n  \"description\": \"\",\r\n  \"dependencies\": {\r\n    \"cors\": \"^2.8.5\",\r\n    \"couchbase\": \"^4.4.3\",\r\n    \"dotenv\": \"^16.4.5\",\r\n    \"express\": \"^4.21.1\",\r\n    \"permitio\": \"^2.6.1\"\r\n  }\r\n}<\/pre>\n
Implementa\u00e7\u00e3o do servidor<\/span><\/h3>\n
Vamos dividi-lo em componentes-chave:<\/span><\/p>\n
Inicializa\u00e7\u00e3o<\/b><\/h4>\n
Come\u00e7amos configurando nosso servidor Express e inicializando o cliente Permit.io:<\/span><\/p>\n
const express = require('express');\r\nconst cors = require('cors');\r\nconst { Permit } = require('permitio'); const couchbase = require('couchbase'); require('dotenv').config();\r\nconst app = express();\r\nconst port = process.env.PORT || 3001;\r\napp.use(cors({\r\n  origin: 'https:\/\/localhost:5173',\r\n  methods: ['POST'],\r\n  allowedHeaders: ['Content-Type'],\r\n}));\r\n\r\n\/\/ Initialize Permit client\r\nconst permit = new Permit({\r\n  token: process.env.PERMIT_SDK_TOKEN,\r\n  pdp: \"https:\/\/cloudpdp.api.permit.io\"\r\n});<\/pre>\n
An\u00e1lise de consultas SQL++<\/b><\/h4>\n
Para trabalhar com as consultas de entrada do Couchbase, precisamos analis\u00e1-las. Implementamos um analisador simples que extrai as cl\u00e1usulas SELECT, FROM e WHERE da consulta de entrada.<\/span><\/p>\n
Vamos dar uma olhada nos componentes principais do nosso analisador:<\/span><\/p>\n
Analisador de consultas<\/b><\/p>\n
A classe QueryParser \u00e9 a base da nossa implementa\u00e7\u00e3o de seguran\u00e7a. Ela lida com duas tarefas essenciais:<\/span><\/p>\n
    \n
  1. An\u00e1lise de consulta: <\/b>P<\/span>utiliza consultas SQL++ para determinar:<\/span><\/li>\n<\/ol>\n