标签: access-control

我想在MySQL中创建一个新用户,并且只对一个数据库提供完全访问权限,比如dbTest我用一个命令创建的数据库create database dbTest;.那些MySQL命令会做什么？

该文章已在了解新的访问说明很有帮助Swift 3.它也给出了不同用途的一些例子fileprivate和private.

我的问题是 - 是不是fileprivate在一个仅在此文件中使用的函数上使用与使用相同private？

使用CBAC与RBAC的主要好处是什么？何时使用CBAC更好,何时使用RBAC更好？

我试图理解CBAC模型的一般概念,但总体思路对我来说仍然不明确.

有人可以告诉我如何建立在Oracle 11g中用户,只授予该用户只能执行一个特定的存储过程,并在该过程中的表的能力.

我真的不确定怎么做!

我读到了DDD和访问控制,我发现以下两种观点之间存在一些矛盾:

• "安全问题应该在域外处理"
• "访问控制要求是特定于域的"

我正在寻找关于此的最佳实践.那么我应该在哪里通过域驱动设计放置访问控制逻辑,我应该如何实现它？

(更具体地说,DDD + CQRS + ES.)

我认为它应该接近业务逻辑,例如用户故事可能是这样的:

用户可以通过发送用户名,爱好列表,简历等来编辑他的个人资料...

根据用户故事,我们实现了域模型和服务,例如:

UserService
    editProfile(EditUserProfileCommand command)
        User user = userRepository.getOneById(command.id)
        user.changeName(command.name)
        user.changeHobbies(command.hobbies)
        user.changeCV(command.cv)

UserRepository
    User getOneById(id)

User
    changeName(String name)
    changeHobbies(String[] hobbies)
    changeCV(String cv)

这没关系,但HIS profile故事的一部分在哪里？

这显然是基于属性的访问控制,因为我们应该写一个这样的规则:

deny all, but if subject.id = resource.owner.id then grant access

但是我们应该在哪里执行这条规则,我们应该如何实施呢？

是否有任何理由使重写的C++虚函数的权限与基类不同？这样做有危险吗？

例如:

class base {
    public:
        virtual int foo(double) = 0;
}

class child : public base {
    private:
        virtual int foo(double);
}

在C++常见问题解答说,这是一个坏主意,但没有说为什么.

我已经在一些代码中看到了这个习惯用法,我相信作者试图让这个类最终,基于一个假设,即不可能覆盖私有成员函数.但是,本文显示了重写私有函数的示例.当然,C++ faq的另一部分建议不要这样做.

我的具体问题:

1. 在派生类和基类中使用不同的虚拟方法权限是否存在任何技术问题？

2. 有没有合理的理由这样做？

Matthieu M.在我之前看过的这个答案中提出了一种访问保护模式,但从未有意识地考虑过一种模式:

class SomeKey { 
    friend class Foo;
    SomeKey() {} 
    // possibly make it non-copyable too
};

class Bar {
public:
    void protectedMethod(SomeKey);
};

这里只有一个friend关键类可以访问protectedMethod():

class Foo {
    void do_stuff(Bar& b) { 
        b.protectedMethod(SomeKey()); // fine, Foo is friend of SomeKey
    }
};

class Baz {
    void do_stuff(Bar& b) {
        b.protectedMethod(SomeKey()); // error, SomeKey::SomeKey() is private
    }
};

它允许更多的细粒度访问控制不是制造Foo一个friend的Bar,避免了更复杂的代理模式.

有谁知道这种方法是否已经有一个名称,即,是一个已知的模式？

用于跟踪Web应用程序的基于角色的访问控制的最佳数据库模式是什么？

我正在使用Rails,但谷歌链接的RBAC插件看起来没有维护(只有300个提交到SVN;最近几乎是一年前).

这个概念很简单,可以从头开始实现,但又复杂而重要,值得一试.

那么其他人如何构建和实施他们的RBAC模型呢？

我正在尝试使用aspnet核心实现基于权限的访问控制.为了动态管理用户角色和权限(create_product,delete_product等),它们存储在数据库中.数据模型类似于http://i.stack.imgur.com/CHMPE.png

在aspnet核心之前(在MVC 5中)我使用AuthorizeAttribute下面的自定义来处理这个问题:

public class CustomAuthorizeAttribute : AuthorizeAttribute
{
    private readonly string _permissionName { get; set; }
    [Inject]
    public IAccessControlService _accessControlService { get; set; }

    public CustomAuthorizeAttribute(string permissionName = "")
    {
        _permissionName = permissionName;
    }

    public override void OnAuthorization(AuthorizationContext filterContext)
    {
        base.OnAuthorization(filterContext);
        var user = _accessControlService.GetUser();
        if (PermissionName != "" && !user.HasPermission(_permissionName))
        {
            // set error result
            filterContext.HttpContext.Response.StatusCode = 403;
            return;
        }
        filterContext.HttpContext.Items["CUSTOM_USER"] = user;
    }
}

然后我在下面的动作方法中使用它:

[HttpGet]
[CustomAuthorize(PermissionEnum.PERSON_LIST)]
public ActionResult Index(PersonListQuery query){ }

另外,我在视图中使用HttpContext.Items ["CUSTOM_USER"]来显示或隐藏html部分: …

我正在使用jQuery的$.getJSON()函数来返回一小段JSON数据.

我已将JSON数据放在网址上,例如example.com.我没有意识到,但是当我访问相同的URL时,无法加载JSON数据.我跟着控制台,发现XMLHttpRequest由于无法加载Access-Control-Allow-Origin.

现在,我已经读完了,很多网站只是说要使用$.getJSON(),这将是解决方法,但显然它不起作用.我应该在标题或函数中更改某些内容吗？

非常感谢帮助.