問題タブ [access-control]

ユーザー権限を処理する多くの Rails プラグインがあります。hobo gem の実装には感銘を受けましたが、この機能だけを使用して他の部分を使用できないかどうかはわかりません。GateKeeper は実に巧妙な実装ですが、バグがいくつかありますが、自分で修正できるほど小さいものです。Restful_ACL は、作成をチェックするためのクラスメソッドを提供します。つまり、問題のインスタンスに対してチェックを行うことはできません (スコープ検索を行うかどうかは不明です)。

現在のユーザーが見ることを許可されているものだけを見つける ActiveRecord#find の範囲指定されたバージョンを提供するものが欲しいです。これは、あなたまたはあなたの友人の 1 人が所有するギャラリーにある写真だけを見ることができると言うのに十分なほど堅牢である必要があります。

おまけとして、自分のレコードを別のユーザーまたはギャラリーに関連付けたり、そのようなレコードを作成したりするなど、実行する権利のない作成または更新 (before_* または検証ステップで) を防ぐことができます。

私は現在http://www.cplusplus.comチュートリアルを進めていますが、このセクションに出くわしました: http://www.cplusplus.com/doc/tutorial/inheritance.htmlフレンド関数の主題を扱っていますおよびC++のフレンド クラス。

私の質問は、いつプログラムを作成するときに友情を使用するのが賢明ですか?

私が得た唯一の手がかりは、オブジェクトを「複製」するフレンド関数を示す記事内の例でした。

私のネットワークには、ユーザー名/パスワード認証用の kerberos サーバーがあります。アプリケーションを実行するマシンには kerberos クライアントが機能しているため、ユーザーは kinit などを使用できます。

独自のカスタム アプリケーションからプログラムでサーバーと対話するにはどうすればよいですか? 例として推奨される言語は C です。

特定の機能にアクセスする前に、アプリケーションのユーザーが kerberos サーバーに対して認証されるようにします。ユーザー名とパスワードを尋ねる必要があると思います - kinit が呼び出されていない可能性があります。

アプリケーションをホストするマシンは、OS X と Debian/Linux を実行します。

その答えには、GSSAPI が関係している可能性が高いと思います。もしそうなら、これのための良いチュートリアルはありますか?

私は、PHP と MySQL を使用して Web アプリケーションを作成するチームの一員です。アプリケーションには、異なる役割を持つ複数のユーザーがいます。このアプリケーションは、地理的に分散した方法でも使用されます。

したがって、特定のデータベース レコードに対するユーザー権限を制御するアクセス制御システムを作成する必要があります。つまり、特定のレコードのみが表示されるようにデータベース クエリを変更します。たとえば、都市レベルのユーザーの場合、ユーザーの特定の都市に関連するレコードのみを表示する必要がありますが、全国レベルのユーザーの場合、国のすべての都市のレコードを表示する必要があります。

SQL クエリで情報をハードコーディングせずに、この種の情報検索を処理できるシステムの設計について助けが必要です。

どんな助けでも大歓迎です。

前もって感謝します

デバイスに ACL ベースの認証メカニズムを実装する必要があります。このデバイスには、Web ページ、TL1 (基本的にはコマンド プロンプトを介して) などのさまざまなインターフェイスからアクセスできます。

どのインターフェイスからの要求も認証できるように、ACL ロジックを一元化する必要があります。

ACL ロジックは基本的に、ログインしているユーザーが実行しようとしている操作を実行できるかどうかをチェックします。このために、グループを作成し、これらのグループにユーザーを追加します。各グループは、その特定のグループで許可されている操作のリストを保持します。

誰かがこれを実装するための最良の方法を提案できますか?

これを実現できる既存のソフトウェア/ツールはありますか? オープンソース プロジェクトはありますか?

私は C/C++ プログラマーであり、ACL コンセプトの初心者です。上記のモジュールは、Linux OS 用に開発する必要があります。Web インターフェイスは CGI になります。

前もって感謝します。

オーバーライドされたC++仮想関数のアクセス許可を基本クラスとは異なるものにする理由はありますか？そうすることで何か危険はありますか？

例えば：

C ++のよくある質問には、それは悪い考えだと書かれていますが、その理由は書かれていません。

私はいくつかのコードでこのイディオムを見てきましたが、プライベートメンバー関数をオーバーライドすることは不可能であるという仮定に基づいて、作成者がクラスを最終的にしようとしていたと思います。ただし、この記事では、プライベート関数をオーバーライドする例を示します。もちろん、C++に関するよくある質問の別の部分ではそうしないことを推奨しています。

私の具体的な質問：

1. 派生クラスと基本クラスで仮想メソッドに異なる権限を使用することに技術的な問題はありますか？

2. そうする正当な理由はありますか？

Web サイトに最も単純な共有「ファイル」フォルダを実装しようとしていますが、「妥当な」レベルのアクセス制御が必要です。

ユーザーにはパスワードなどが与えられます。次にログインし、資格情報が正常にチェックされると、ファイルへの読み取り専用 (RO) または読み書き (RW) アクセスの 2 つの可能なアクセス権のいずれかが与えられます。このコンテキストでの「書き込み」は、ファイルをアップロードできることを意味します。

ユーザー管理/登録/パスワード リマインダーはすべて手動で処理できます。この時点ではコードは必要ありません。

これを行う最善の方法は何ですか:

1. セッション変数にシークレットを書き込みますか?
2. ある種の時間制限のあるセッション キーをローカル Cookie として保存しますか?
3. ある種のセッション キーについてローカル データベースを確認しますか?
4. (複雑すぎる方向に向かって) pukka .NET 認証メカニズムを使用する

建設的な提案を歓迎します。C#/ASP.NET ベースの品種の良い例を教えていただければ、特にうれしいです。

どうもありがとう

ジェリー。

開発を始めようとしている Web アプリについて考えていて、いつものアプローチを改善できないかと考えていました。

CREATE POST最近のいくつかのアプリでは、ロール ( など) のテーブル (以下を参照) を作成しましたEDIT POST。各ロールにはビットフィールドが適用されているため、登録時にユーザーに特定の権利を割り当てるだけで、後でそれらを確認できます (例: $user->hasRight(CREATE_POST)）。

これに対するより良いアプローチがあるかどうか疑問に思っています。権利がユーザーに明確にリンクされていない場合、確かに混乱します (各権利がブール列である表を作成することもできますが、それは小さな改善のように思えます) - そして、いくつか変更するとどうなりますか?

私は標準ライブラリを使用するつもりはありません (アプリ自体は私にとって学習経験です: postgresql、git などを使用します)。ただし、それらからインスピレーションを得て独自のライブラリを構築することは完全に満足しています。私はそう言ってください見てみる必要があります:)

DCOM のトピックについては、すでに数回議論されていることを知っています。ただし、利用可能なソリューションには (まだ) 満足していません。これが、ここで新しい質問を開始する理由です。

どのユーザーがアプリケーションで何を実行できるかに関する情報を格納するアクセス制御リスト (ACL) は、レジストリの HKCL\AppID{GUID}[AccessPermission|LaunchPermission] の下に格納されていることは誰もが知っています。これらのキーには、「シリアル化された ACL」データがバイナリ形式 (byte[]) で含まれています。

System.Security.AccessControl 名前空間でこれらの値を操作できないとは思えません。それらを「デシリアライズ」し、エントリを追加または削除する方法が必要です。

また、もちろん、.NET ソリューションについても話しています。いくつかの魔法の API 関数を呼び出したり、何らかの奇妙な構造体を実装したりする必要がある場合とそうでない場合がありますが、マネージ コードから DCOM セキュリティ設定を処理できる、素晴らしく直感的な .NET ライブラリを実装できると確信しています。

誰もそれを行う方法のアイデアを持っていますか?

Baseクラスがあるとします：

そして、から継承する別の（異なる）クラスがありBaseます：

友情も受け継がれる？