• Talk
  • 2026

Oltre i ruoli: autorizzazione relazionale con OpenFGA

Speaker:

Tematiche:

  • DevSecOps Culture & Awareness

Abstract

Quasi tutti i sistemi autorizzano guardando i ruoli dentro il JWT: un claim, un middleware, e via. Va bene finché i ruoli sono pochi. Poi arrivano più clienti sullo stesso sistema, team con gerarchie e permessi a tempo: i ruoli si moltiplicano, gli utenti li accumulano e nessuno li toglie. Il least-privilege resta sulla carta, e ogni permesso di troppo è superficie di attacco: se un account viene compromesso, il danno è grande quanto tutto quello che ha acumulato.

Parto da qui e mostro ReBAC, un modello di autorizzazione costruito sulle relazioni tra utenti e risorse, nato in Google con Zanzibar e oggi open source con OpenFGA. Lo faccio su un sistema vero, .NET con Keycloak in produzione, e rispondo a tre domande: quando i ruoli smettono di bastare, come si passa a ReBAC una feature alla volta senza riscrivere tutto, e come si risponde in pochi secondi alla domanda che prima o poi fa ogni audit, “chi poteva accedere a questa risorsa, e perché”.

Talk correlati 2026