如何限制某些用户访问我的应用程序中的特定功能?
限制某些用户访问应用程序中的特定功能通常涉及到权限管理和访问控制。以下是一些基础概念、类型、应用场景以及解决方案:
基础概念
- 权限管理:定义和管理用户对系统资源的访问权限。
- 访问控制:根据用户的身份和权限,决定其是否可以访问特定的资源或执行特定的操作。
类型
- 基于角色的访问控制(RBAC):根据用户的角色来分配权限。
- 基于属性的访问控制(ABAC):根据用户的属性(如部门、职位、时间等)来动态分配权限。
- 强制访问控制(MAC):系统强制执行预定义的安全策略。
- 自主访问控制(DAC):资源的所有者决定谁可以访问该资源。
应用场景
- 企业应用:不同部门的员工访问不同的功能模块。
- 在线平台:根据用户类型(如普通用户、VIP用户、管理员)提供不同的功能。
- 金融系统:根据用户的信用等级限制其交易额度。
解决方案
1. 基于角色的访问控制(RBAC)
// 示例代码:Node.js + Express
const express = require('express');
const app = express();
const users = [
{ id: 1, name: 'Alice', role: 'admin' },
{ id: 2, name: 'Bob', role: 'user' }
];
app.use((req, res, next) => {
const user = users.find(u => u.id === req.session.userId);
if (!user) {
return res.status(401).send('Unauthorized');
}
req.user = user;
next();
});
app.get('/admin', (req, res) => {
if (req.user.role !== 'admin') {
return res.status(403).send('Forbidden');
}
res.send('Welcome Admin!');
});
app.get('/user', (req, res) => {
res.send('Welcome User!');
});
app.listen(3000, () => {
console.log('Server is running on port 3000');
});2. 基于属性的访问控制(ABAC)
# 示例代码:Python + Flask
from flask import Flask, request, abort
app = Flask(__name__)
users = [
{'id': 1, 'name': 'Alice', 'department': 'HR'},
{'id': 2, 'name': 'Bob', 'department': 'Finance'}
]
@app.route('/data')
def get_data():
user_id = request.args.get('user_id')
user = next((u for u in users if u['id'] == int(user_id)), None)
if not user:
abort(401)
if user['department'] != 'HR':
abort(403)
return 'HR Data'
if __name__ == '__main__':
app.run(debug=True)参考链接
总结
通过上述方法,你可以根据用户的角色或属性来限制其对应用程序中特定功能的访问。选择合适的访问控制模型取决于你的具体需求和应用场景。
相关·内容
当用户不在公司区域时,我想拒绝用户访问我的web应用程序,这样我就可以强制web浏览器通过django跟踪用户位置。
浏览 0提问于2019-05-25得票数 0
是否可以限制iPad应用程序在iPad 1、2和3上运行?我们有一个需要iPad 4或更高硬件的游戏,不能在iPad 1、2或3上运行,我们不想从试图使用我们游戏的iPad 3用户那里得到不好的评价。
谢谢!
浏览 1提问于2015-02-16得票数 0
1回答
我有一个网站,用户可以上传小应用程序,运行24/7在我的服务器。
因此,如果用户上传应用程序,将创建一些文件夹:
/{USER_ID}/{APP_ID}/
(如果用户文件夹已经存在,则不会再次创建/{USER_ID}/文件夹)
在这个目录中,应用程序文件将被存储。对于用户创建的每个应用程序,将在包含应用程序启动命令的bash文件夹中创建一个/{APP_ID}/文件。
例如,如果用户上传.NET Core应用程序,将创建一个包含nohup dotnet app.dll ...的bash文件。
我的问题是,如何保护我的服务器--限制用户应用程序权限的最佳方法。
如果用户创建了应用程序,他可以单击网
浏览 0提问于2018-10-17得票数 2
我正在制作一个Android应用程序,在某些业务中用作POS。为了获得吸引力,该应用程序与手机,互联网线路和应用程序。我想限制电话,whatsapp,SMS等等。我想让手机直接在我的应用程序中启动。
我在调查Cyanogenmod,但找不到任何关于如何做这件事的信息。
我是说,这不是我的硬件吗?
编辑我开放使用其他操作系统。
我的设备最初是三星的一种趋势。
我读过这样的文章:你可以替换一个.apk,开始你自己的应用程序,而不是安卓菜单(我知道用户可以改变.apk,所以看起来更好的解决方案,无论如何我找不到任何关于如何做的信息)。
浏览 5提问于2015-01-22得票数 1
作为一个小型SaaS提供商,我目前拥有一个应用程序服务,我在租户中托管它,它使用Azure进行IAM。我有两个客户,有一个单独的应用服务实例和数据库为每个客户在不同的地区。我还为每个客户创建了两个额外的租户,在每个客户租户中,我有一个应用程序注册(单个租户)链接到一个企业应用程序。用户帐户是在客户租户AAD中创建的,并允许使用相应的应用程序注册角色之一访问企业应用程序。
但是,我的一个客户最近在他们自己的租户中实现了Office 365,并且希望使用他们的O365用户帐户登录到我的应用程序,而不是我为他们创建的租户中的用户帐户。
我遵循这个和这个,并在应用服务身份验证提供者属性中将Issuer
浏览 0提问于2021-07-14得票数 0
我正在创建一个SaaS,多租户应用程序,其中每个租户将有一个自定义域,如tenant1.myWebApp.com,tenant2.myWebApp.com .tenantX.myWebApp.com。
On Azure,我可以添加那些自定义域。我注意到,您可以在应用程序服务中添加最多500个自定义域,我期望有更多的租户。为了解决这个问题,可以添加一个通配符域,比如*.myWebApp.com。然而,这将允许anyDomainX.myWebApp.com访问我的应用程序。我怎么才能阻止这一切?有没有办法阻止未经授权的域访问您在Azure中的应用程序?
浏览 6提问于2022-06-08得票数 0
我正在开发一个android应用程序。
在android应用程序中,用户从我的google云存储中读取文件,并将文件更新到其中,尽管这不是该应用程序的主要用途。
现在,我对如何允许用户访问我的google云存储感到非常困惑。
谷歌建议使用OAutn 2.0身份验证。因此,我在下面的网站上介绍了它是如何工作的。
在操场上,我允许"oauthplayground“访问我的google云存储。
但我不需要这一步,因为我总是希望允许android应用程序访问我的google云存储。
经过思考,我有了使用android应用程序的授权代码来访问我的google云存储的想法。
但这不是一个好主意,
浏览 1提问于2013-03-10得票数 1
回答已采纳
最近,我将一个应用程序移到了不同的Tomcat服务器环境中,对于一些在网络之外访问我的应用程序的用户来说,获得状态403访问禁止错误。Intranet用户没有问题,只有很少的外部网络用户单独面对这个issue.Even --我从外部网络测试了它,它对我来说很好。Tomcat版本为6.0.18。请帮助我找到一些关于这个issue.There是没有凭证登录到这个应用程序的一些想法。
获得以下日志IP地址的成功用户-16/Jul/2015:08:27:20-0500 "POST /AppName/Main.jsp HTTP/1.1“200 12403
其他用户(面临问题)低于日志IP地址-1
浏览 0提问于2015-07-15得票数 0
回答已采纳
2回答
我的应用程序被应用程序拒绝了,因为它说“你的应用程序必须包含来自Facebook的重要账户特定功能”,我正在使用Facebook登录和Facebook共享。在我的应用程序中,我有两种类型的登录: Facebook登录,2:来宾登录,我的应用程序中的某些功能仅限于用户使用Facebook登录时才能执行。
有谁能告诉我Facebook的账户功能是什么?是否有任何机构有此阶段的问题,如果他们得到解决办法,请分享。
谢谢
浏览 0提问于2016-02-26得票数 2
如何允许普通gmail用户访问我制作的应用程序。这有可能吗?如果你必须有一个单独的通用帐户为每个用户使用该应用程序,那么它是如何可行的?
无论如何,任何帮助都将不胜感激。
非常感谢
塞缪尔
浏览 0提问于2018-09-13得票数 1
回答已采纳
在我的注册页面,我不希望一些用户属于特定的公司将能够注册我的网站。而不是手动阻止用户,我想阻止任何用户试图访问我的网站。
浏览 25提问于2017-08-28得票数 0
我正在使用ADAL为我的Azure广告的移动应用程序用户提供服务,这很好,但问题的另一面是他们也可以登录到portal.azure.com,我如何防止这种情况呢?我不想让用户访问我的蔚蓝门户,只想让他们访问我授予他们的应用程序。
浏览 4提问于2017-06-05得票数 1
回答已采纳
Ingress :限制访问我的一些API Hello guys,
我正在学习微服务架构。我使用Docker和Kubernetes。
我已经创建了一些服务,并且能够通过Ingress将它们公开给世界。
我已经创建了两个前端。一个是为我的用户提供的Nextjs,可通过domain.com访问;另一个是纯React,用于管理可通过manage.xxx.com访问的应用程序。
现在,我有点迷茫了。我想要的是限制对我的一些API的访问。例如,我有一个用户服务,它允许我的用户通过我的应用程序注册和登录。
他们可以在domain.com上执行的请求示例。
- POST /api/users/signup
浏览 3提问于2020-10-22得票数 0
1回答
我已经在我的本地计算机上安装了Umbraco,但是如果有人可以帮助验证我是否正确地理解了它,我会有一些关于IIS和权限的问题。我的环境如下
·Windows 7 Pro操作系统
·IIS7.5-我在IIS中建立了一个新站点,该站点具有应用程序池的身份应用程序池标识
·Umbrov7.3.0-应用程序文件位于C:\UsersmyUsername\Documents\Visual 2013\Projects\InstallingUmbracoDemo\InstallingUmbracoDemo中
下面的过程/理解是否正确?
在IIS中添加一个新网站,应用程序池名称将自动更新以反映我的网站名称。
浏览 2提问于2016-01-28得票数 0
1回答
我知道这个问题已经被提出了,但我认为限制已经改变了。
我开发了一个使用谷歌地图V2 API的安卓应用程序。我将上传免费的应用程序在Play商店,但用户将支付从PayPal到我的网站的一些服务。我的应用程序中有一些链接可以帮助用户(通过浏览器)访问我的网站并进行注册。
经过一些研究后,我对Android上谷歌地图的请求限制感到困惑。他们现在有空吗?
浏览 1提问于2015-04-13得票数 1
当我们访问我们的网站时,我们希望能够识别我们的用户来自哪个国家。我知道ELB支持代理协议,并将通过客户端的IP发送;我可以用它手动进行IP地理查找。但是ELB有什么内置的东西可以告诉我如何获取用户的位置信息,也许是通过标题吗?不需要太多的信息,只要客户的国家。
浏览 0提问于2015-05-15得票数 2
回答已采纳
我需要限制只有一个特定的用户帐户才能访问我的应用程序。我在WMI下找到了用于查找用户帐户的类,但我不知道如何识别哪个类正在运行我的应用程序。
浏览 3提问于2009-08-17得票数 4
回答已采纳
对于比特币钱包而言,谷歌Play的自动更新是一把双刃剑,如果出现退出骗局或发布经理不满的情况,让许多用户快速更新是危险的。我能否询问是否有任何应用程序被设置为在Google中自动更新?如果没有,我是否可以询问我的应用程序是否设置为自动更新?
七年来没有得到任何答案,但从那以后也发生了很大变化。我找不到其他问题,要求如何放慢速度,而不是加快更新速度。
浏览 1提问于2021-03-29得票数 1
我需要确保特定用户只从特定的ips示例访问我的服务器:远程管理用户,它只能从IP范围192.168.50访问。*,192.168.80。*
是否也可以只指定对某些端口的访问?
谢谢
浏览 0提问于2017-12-15得票数 0
回答已采纳
我使用Oauth2来保护我的web。我的问题是:
用户"A“与帐户"A”登录,访问令牌"A“被授予。用户"B“以帐户"A”登录,访问令牌"B“被授予。然后,两个访问令牌"A“、"B”都可以访问我的资源(相同的帐户"A“)。
如何更改此行为,以便当用户"B“登录时,访问令牌B被授予,访问令牌"A”过期。
谢谢。
浏览 3提问于2016-12-14得票数 1
回答已采纳
2回答
我正在实现char驱动程序( Linux),并且在我的驱动程序中有某些IOCTL命令,这些命令只需要由管理员执行。
我的问题是,如何检查IOCTL命令实现下的用户权限,并限制未授权用户访问ioctl。
浏览 1提问于2015-04-27得票数 6
2回答
我有一个应用程序,使用各种第三方API的第三方API之一在一个单独的线程中执行。
我想让一个特定的线程访问一个特定的目录,并限制该线程访问我的本地磁盘的其他目录。
这可以通过java安全管理器来实现吗?
浏览 2提问于2013-12-09得票数 5
我读了一个文件"“,它起作用了。但我希望只允许几个用户访问我的GAE,并限制其他用户。
那么,我如何管理我的谷歌应用程序引擎的用户帐户(与戈朗)?
我将使用“谷歌帐户”系统。
我需要你的帮助。谢谢!祝你今天愉快~
浏览 0提问于2013-11-11得票数 0
回答已采纳
希望首次将推送通知集成到Android应用程序中。
我已经为一个使用APNS的iOS应用程序这样做了,一般来说,我只是想让通知提醒用户,我不想在应用程序中处理它。
有了iOS,我可以通过广播到app来实现这一点,而应用程序并不关心通知。然而,从我在Android上的阅读来看,该应用程序需要注册并在应用程序中侦听这些更新。
这是正确的吗?
浏览 0提问于2016-09-07得票数 0
我目前正在寻找开发我的下一个way应用程序的最佳方法。我正在考虑使用Backbone.js并构建一个单页面应用程序。但我真的无法想象如何保护我的应用程序,因为几乎所有的事情都是在客户端完成的。当然,我只能阻止用户访问我的RESTful Api,这样他们就无法访问我的数据。但是所有视图/模型/集合/模板js文件仍然是可访问的。
或者,有没有一种已知的方法可以用php (laravel)来提供js文件,这样我就可以只为各个用户提供我需要的文件了。
我只是不能通过搜索网络找到一个解决方案。但我只是不认为我是一个孤独的人,需要一个干净和安全的身份验证方法,包括不同的用户权限。
提前谢谢你!
浏览 0提问于2012-11-19得票数 3
回答已采纳
我认为,如果有一种方法可以获得有关您自己的API密钥的统计信息,那将是非常有帮助的。
这样,你就可以找到你的应用程序中使用最多的IP地址。(如果有人滥用它,你至少会知道问题出在哪里。)
现在的情况是,没有办法找出谁在使用你的应用程序的钥匙。
更新:在这里有人被迷住之前,我要指出的是,这不是一个骗局。这个问题并不是问我是否可以检查使用我的密钥发出的请求的数量。我知道怎么做。我在问如何确定使用我的密钥的用户的数量,以及他们使用了多少。
浏览 0提问于2010-05-23得票数 3
我在aws SAM项目中工作,我有一个要求让多个未知aws账户的iam用户访问我的S3存储桶,但我不能让存储桶公开访问。我想要保护我的存储桶,以及我希望来自任何亚马逊网络服务账户的任何iam用户访问我的S3存储桶中的内容。这个是可能的吗?
下面是我尝试过并完美发挥作用的策略。
{
"Version": "2012-10-17",
"Id": "Policy1616828964582",
"Statement": [
{
"Sid": &
浏览 1提问于2021-03-27得票数 0
我是react和开发react应用程序的新手,我希望用户可以将他/她选择的值保存在前端,以后也可以通过单击按钮看到这些值,用户可以看到之前选择了什么值。现在的问题是如何提供这个功能,我已经研究了它可以通过本地存储或通过react中的数据绑定概念来完成,但我不知道在我的场景中实现哪一个是最好的。
让我用图表给你解释一下。
(带有指标生成的第一张图片)这是我的React应用程序的主页,在“问题和指标”部分下面有一个叫做关联指标的东西,这些值是用户在前端选择自己的值。
(具有详细的用户控件的第二个图像)这是所有用户控件定义的页面,在这里用户可以选择值,在结束时,当用户单击"
浏览 2提问于2019-09-13得票数 0
我想知道是否可以使用Smooch在Whatsapp中处理多个用户,以及如何处理。
现在,我有一个免费的应用程序在Smooch的14天免费试用层,并使用Smooch沙盒集成模式。这个应用程序是用户用来与系统交互的前端。我知道smooch沙箱的限制是每个沙箱只能有一个用户,每个应用程序只能有一个电话号码。
我正在开发一个系统,在这个系统中应该有多个用户,并使用Whatsapp作为媒介进行交互。因为这仍然是一个概念证明,所以我选择了自由层。
我正在使用AWS Lambda为应用程序提供后端功能。现在,我必须为不同的用户编写多个函数。应用程序凭据是硬编码的。
如果有人在Smooch或生产集成模式下的非
浏览 2提问于2019-01-30得票数 0
我已经安装了带有svn的trac。我有不同的项目主干。我想限制几个用户,这样他们只能访问我定义的一个特定的干线。
我该怎么做?
浏览 0提问于2010-08-11得票数 1
1回答
我有一个包含主和奴隶的Jenkins设置,我正在使用管理我的用户的授权。我的目标是只允许特定用户在特定节点上进行构建。
我有一个授予总体读取权限和作业读取权限的dev全局角色,我有一个dev项目角色,它提供了对乔布斯的所有权限(在dev文件夹中),以及一个dev从角色,它给出了对代理的生成权限(=从角色),其名称与模式dev(.*)相同。概括如下:
当我将用户分配给这三个角色时,用户可以在所有节点上构建作业,比如dev01和prod01。这是一个问题,因为我不希望开发人员在生产奴隶的基础上进行构建。从用户中删除从属角色似乎具有类似的效果。
然后,我试图从项目角色中删除作业生成权限,但是
浏览 0提问于2016-07-07得票数 0
我知道,当我需要一个连接到Azure资源的应用程序的身份时,我必须创建一个服务主体。但是,如果有人问我:“为什么不创建一个AAD用户并作为该用户进行身份验证呢?”老实说,除了“你不是这么做的”之外,我无法回答。
有人能给我一个正确的解释吗?为什么使用AAD服务用户而不是应用程序注册会是个坏主意?
浏览 3提问于2021-12-11得票数 0
回答已采纳
当用户调用我的API时,我想验证该用户是否有权访问我的Azure密钥库。
API在应用程序服务中运行,并且此应用程序服务已被授予对密钥库的访问权限,但我希望确保调用该API的用户也已被授予对密钥库的访问权限。
Azure SDK是否提供了获取密钥库的访问策略的方法?
谢谢!
浏览 1提问于2020-04-18得票数 2
我应该在哪里存储我的java应用程序访问第三方服务的凭据?
在我的应用程序中,每个用户的凭据并不是特定的。它们用于访问我的应用程序正在使用的web服务。我知道的足够多,不会把它们硬编码到我的应用程序中,但是我应该在哪里和如何存储它们呢?我也认为他们需要被加密。
浏览 6提问于2016-12-07得票数 2
回答已采纳
3回答
我有一个应用程序,其中的内容应该只有一次用户输入密码在开始时才能访问。
有没有人知道苹果商店的验证会不会是个问题,因为他们没有密码就无法访问任何应用程序功能?
如果这不是合适的地方,请告诉我,我会转移问题。
谢谢
浏览 2提问于2014-09-18得票数 0
1回答
使用Flask,是否可以使python模块侦听用户发送到服务器的请求并对请求进行计数。经过一段时间后,如果有任何用户提出,例如,30万个请求,我希望限制访问他们正在使用的服务。
关于服务。我们的客户使用标准OGC (WMS,WFS)服务来访问我们的空间数据。当我们提供服务时,他们通过我们提供的URL访问数据。一个服务在一个端口上运行。我们有多个服务运行在一个服务器上的多个端口上。
当获取请求从客户端发送到服务器时,我想先请求,来烧瓶应用程序,检查用户发出的请求数量。如果请求的数量少于指定的数量,应用程序应该传递请求,但是如果请求的数量超过指定的数量,则应用程序应该限制该用户对数据的访问。
我很
浏览 1提问于2020-08-21得票数 1
我已经创建了一个包含多个项目的解决方案。其中一个项目是WPF应用程序,它作为独立应用程序运行良好。它与服务应用程序和数据库通信。
现在我已经创建了另一个WPF应用程序,这一次是面向浏览器的。这意味着网络上的用户应该能够访问我的XBAP页面。这个项目似乎使用了aspnetdb.mdf文件。我已经创建了该文件,但现在表是不正确的,可能是因为角色和配置文件不正确。我通常使用我自己的Microsoft SQL数据库。
我在互联网上到处看过,这似乎是我的解决方案(和应用程序?)需要进行不同的配置。我想知道如何才能在不做太多更改的情况下尽可能地接近原始解决方案。我不想使用aspnetdb.mdf,但似乎我
浏览 2提问于2013-03-26得票数 0
回答已采纳
我们使用AngularJs,在我们的应用程序中,我们大约有8个角色,如SUPER_ANDMIN,管理员,用户,经销商等,所以如果用户角色是管理员,那么7个选项卡显示,但如果用户角色是用户,那么只有3个选项卡显示,在每次我们从服务器站点发送用户角色的呼叫。
那么最好的做法是什么呢?我们需要在每个选项卡上都放上ng-if吗?或者在AngularJS中放入更好的选项,谢谢
浏览 2提问于2015-06-30得票数 0
1回答
我已经用MySQL和PHP创建了一个本地Apache服务器。我刚刚创建了一个网站,我想要公开访问,主要是为我的实验。但是,我刚刚意识到,我的MySQL服务器运行在端口3306上,通常我的PHP用用户名和密码连接到本地主机上的数据库。其他任何远程PHP脚本都不能连接到我的数据库并从所有存储的数据中获取信息吗?它不是让我的网站处于危险之中吗?如何停止到数据库服务器的远程连接?我只想让服务器上的应用程序(或我批准的应用程序)访问我的数据库。如果措辞不好,请原谅,我在Google上找不到任何有用的文章。
浏览 2提问于2016-06-13得票数 0
回答已采纳
2回答
我是亚马逊S3的新手。我需要一些S3存储解决方案的帮助。这是我的问题。
我在亚马逊S3上创建了一个水桶。现在,每个人都可以访问我的桶URL (例如),并且可以看到桶中的所有文件。我只希望我的移动应用程序用户能够查看/查看/下载桶中的文件。但是,如果我阻止文件/将桶中的文件设置为私有文件,我的移动应用程序用户将无法查看他/她的文件。
所以问题是:
是否有一种方法来保护对AWS S3的访问?或者,我如何只允许特定用户访问亚马逊S3上的内容?是服务器端身份验证还是其他什么的?
如果你知道怎么做,你能给我举个例子吗?谢谢:)
注意事项:我正在使用Parse JavaScript SDK,A
浏览 3提问于2017-09-27得票数 5
回答已采纳
我想创建一个只能由我在Jenkins中使用的凭证(用于访问我的GitHub)。实现这一目标的步骤是什么?
浏览 0提问于2019-01-09得票数 1
我正在构建一个小程序,试图帮助锁定瘦客户端终端。我使用了TopMost属性来防止用户访问我的软件背后的任何东西,但我想知道的是,是否有可能允许特定的应用程序“通过”它。
例如,假设他们被允许打开Word。我的软件可以调用msword.exe (这很好),但它将在应用程序下面打开。这是除本例中的msword.exe之外的所有内容的预期和期望行为。那么,有没有办法让msword.exe进程出现在上面呢?
浏览 0提问于2012-06-07得票数 0
回答已采纳
保护Google App Engine和/或Kubernetes Engine上的公共REST App免受滥用的最佳实践是什么?我打算开发App,将从Android应用程序或React前端应用程序调用。 我不介意通过oauth2/google等授权。想知道别人是如何做到这一点的…理想情况下,我希望我的网站的某些部分是可浏览的,非注册/匿名用户,不想强制谷歌登录或注册在第一步。 我现在开始做的事情或多或少只是一个小小的爱好项目。不想因为滥用公共API而招致巨大的成本。 我做了相当多的研究,但无法得出前进的方向。任何指针都将非常感谢。
浏览 19提问于2019-09-26得票数 0
回答已采纳
1回答
当我们建立网站时,通过HTTP请求在应用服务器上访问我们的API。我们可以限制客户端调用要访问的API的域名。现在,如果我们构建移动应用程序,我们如何识别该应用程序是经过授权的?我们无法获得任何用户代理。有什么方法可以检查这个吗?
在服务器上,我们使用ASP.Net构建。
浏览 2提问于2012-12-27得票数 1
如何允许第二个客户端对用户进行身份验证并访问我们的api授权后端?请纠正我理解中任何不正确的部分。
用户身份验证是应用程序的注册/登录/注销部分。
api的应用程序授权是指确认您的应用程序具有访问api的权限。
用户应该登录到应用程序,并且应用程序应该经过授权,用户才能访问api。
将用户身份验证与应用程序授权分开是很重要的,因为不同的客户端(应用程序)可以通过我们的api访问我们的服务。因此,不同的用户可以具有不同的访问权限。
考虑一个简单的web应用。在应用程序(api客户端)中使用带devise的Rails进行用户身份验证。然后,应用程序使用doorkeeper访问rails-api进行
浏览 6提问于2015-05-27得票数 0
1回答
我有一个移动应用程序,它依赖于后端。我想找出一些安全漏洞。例如,某人目前可以访问我的所有记录,修改或删除它们。不理想..。
我可以选择将某些活动仅限于通过身份验证的用户。然而,我认为这意味着任何拥有facebook账户的人都可以登录,并拥有与上面相同的特权?另外,我不想要求用户登录。
我只希望用户能够访问他们自己的记录(数据隐私),我希望确保只有我的应用程序才能将数据发布到服务器,也就是说,一个非官方的潜在损坏的应用程序不应该能够发布数据并破坏我的数据库。也许某种TLS等方法可以做到这一点?这个限制(如果可能的话)可能允许我在移动软件逻辑中实现上述逻辑?
解决这些问题的一些常见方法是什么,以及
浏览 0提问于2016-06-09得票数 -1
我已经使用Azure服务构建了一个空白Web应用程序。然后,我配置了Facebook身份验证,并输入了我的应用程序ID和秘密等等。
然后,它允许当我访问我的web应用程序的web URL时,它将查看用户是否登录并请求他们的许可。但是,如果我希望他们点击facebook登录按钮,然后使用facebook登录并显示他们的用户名和图标呢?
浏览 2提问于2017-02-15得票数 0
回答已采纳
1回答
在我的应用程序中,特权用户可以添加/删除/更新用户角色(同时还可以将它们分配给特定用户)。下面的摘录显示了我的web.config文件中的一条规则,该规则仅允许管理员使用用户阻止功能:
<location path="block-user.aspx">
<system.web>
<authorization>
<allow users="Administrator"/>
</authorization>
</system.web>
</locatio
浏览 0提问于2012-04-07得票数 2
所以我有一个可以创建应用程序的用户模型。
应用程序控制器包含、新建、创建、编辑和显示。
我想要的是,每个人登录或没有应该能够看到在#show的内容,而创建,编辑等的能力被限制在用户。
创建一个包含#show并显示来自前一个控制器的所有数据的新控制器是最好的选择吗?或者我可以以某种方式限制当前控制器中除show以外的所有内容?
这里的最佳实践是什么?
浏览 0提问于2014-07-22得票数 0
如何只允许特定用户的计算机访问asp.net web应用程序?
实际上,我们的数据非常敏感,我们不能允许任何人访问我们的web应用程序来验证UserName或密码。我们不能允许用户向他人提供他们的用户名和密码。只有注册的客户端机器才能使用我们的web应用程序。
我们可以在客户端机器上安装一个安装文件。
浏览 2提问于2014-09-27得票数 0
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
实时音视频
即时通信 IM活动推荐
腾讯云开发者
