Softwareentwicklung access-control

2

Rolle vs Berechtigungsbasierte Zugriffskontrolle

Ich versuche den inhärenten Kompromiss zwischen Rollen und Berechtigungen zu verstehen, wenn es um die Zugriffssteuerung (Autorisierung) geht. Beginnen wir mit einer vorgegebenen: In unserem System ist eine Berechtigung eine fein abgestimmte Zugriffseinheit (" Ressource X bearbeiten ", "Auf die Dashboard-Seite zugreifen " usw.). Eine Rolle ist eine Sammlung von …

44 security permissions authorization access-control roles

6

Dynamic Code Evaluation in Java - Clever oder schlampig?

Ich versuche, ein flexibles ACL-Framework in Java für meine Anwendung zu erstellen. Viele ACL-Frameworks basieren auf einer Whitelist von Regeln, wobei eine Regel die Form Eigentümer: Aktion: Ressource hat . Beispielsweise, "JOHN kann die Ressource FOOBAR-1 ANZEIGEN" "MARY kann die Ressource FOOBAR-1 ANZEIGEN" "MARY kann Ressource FOOBAR-1 BEARBEITEN" Dies ist …

30 java javascript scripting permissions access-control

6

Ist es in Ordnung, eine Validierungsschicht vor der Zugriffskontrollschicht zu haben?

Ich erstelle eine API-gestützte Webanwendung und in dieser Anwendung haben wir verschiedene Ebenen, die ihre eigene Arbeit erledigen. Die erste Schicht ist die Validierungsschicht , die Benutzereingaben validiert. Wenn sie die Validierung bestehen, verschieben wir diese in die zweite Schicht (die Zugriffskontrollschicht ). Andernfalls wird die Fehlermeldung zurückgegeben Die zweite …

24 validation web-api access-control

2

Wie entwerfe ich eine rollenbasierte Zugriffssteuerung?

Ich versuche, dem Zugriffssteuerungsmodell der Rollenbasis zu folgen, um einzuschränken, was Benutzer in meinem System tun können oder nicht. Bisher habe ich folgende Entitäten: Benutzer - Personen, die das System verwenden. Hier habe ich Benutzernamen und Passwörter. Rollen - Sammlung von Rollen, die Benutzer haben können. Dinge wie Manager, Administrator …

15 database-design authorization permissions access-control roles

1

Was ist eine vorgeschlagene Roadmap für die Implementierung einer einfachen Attribut-basierten Zugriffskontrolle (ABAC)?

Wenn ich über ACL und RBAC lese, scheint es mir leicht zu verstehen - es gibt entweder Benutzernamen oder Rollen, die Zugriff auf ein Asset erhalten. Ich kann auch sehen, wie ich diese umsetzen könnte. dh dieses Bild gibt mir eine klare Sicht auf ACL und RBAC (wie in Ich …

12 permissions access-control abac

4

Wann sollte eine private Methode den öffentlichen Weg einschlagen, um auf private Daten zuzugreifen?

Wann sollte eine private Methode den öffentlichen Weg einschlagen, um auf private Daten zuzugreifen? Wenn ich zum Beispiel diese unveränderliche 'Multiplikator'-Klasse hätte (ein bisschen erfunden, ich weiß): class Multiplier { public: Multiplier(int a, int b) : a(a), b(b) { } int getA() const { return a; } int getB() const …

11 programming-practices coding-style access-control

2

Standardpraktiken für die Zugangskontrolle (Entwurfsmuster)

Ich bin an meinem Interface - Design suchen , und ich kämpfe , um zu entscheiden , welche die „richtige“ Art und Weise ist die rollenbasierte Zugriffssteuerung zu implementieren, einen gegebenen userund ein , subjectdass die für userden Zugriff möchte. Soweit ich sehen kann, habe ich drei Kernoptionen (wobei eine …

9 design single-responsibility access-control

Als «access-control» getaggte Fragen