問題タブ [authorization]

私たちのサイト全体に、非公開/公開/保留中、ダウンロード可能などの多くの属性を持つ共通のモデル、たとえばビデオがあります。

コントローラー、アクション、リクエスト パラメーター、および現在のユーザーに基づいて、特定の動画を表示から除外します。たとえば、ホームページでは、公開されている動画のみを表示したいと考えています。ホームページにログインしているユーザーがいる場合は、公開されているダウンロード可能な動画も表示したいと考えています。

また、ユーザーがサイトで検索を行ったときに Sphinx を使用して望ましくない動画を除外できるように、SQL クエリだけでこれらのフィルターを適用できるようにしたいと考えています。

これは、rails-authorization-plugin などの認証プラグインを使用して処理するのが最適ですか? 要するに、私たちの目標は、プログラマーが新しいアクションを追加するときに、特定のビデオを除外するのをうっかり忘れないようにすることです。私たちが探しているソリューションは、非常にプログラム的でなければなりません。

これが私が考えている解決策です（まだコードを書いていません）

1. 承認プラグインを利用するか、コントローラまたはアクション レベルで定義された、表示されるビデオを設定できる独自のプラグインを作成します。

2. has_many(:videos) または has_one(:video) の任意のモデルの関連付け拡張を作成します。これにより、関連付け内のビデオのファインダーをオーバーロードできます。

3. 同様の方法で Video.find をオーバーロードして、現在のルールに基づいて表示するものを制限します。

私は現在、asp.netの標準ページ認証構成の代替ソリューションを調査しています。

同じアクセスポリシーを必要とするファイルのディレクトリがある場合、ロケーションタグは問題なく機能しますが、個別のアクセスポリシーが多数ある場合、ロケーションタグは面倒です。私は自分のカスタム認証システムをロールすることができましたが、それを避けることができればそれはおそらくより良いでしょう。

現在、ページコンテンツにazmanのような権限ベースの承認システムを使用していますが、これを標準のページセキュリティと統合する良い方法はまだ見つかりません。

これを行う方法について何か提案はありますか？azmanとasp.netページ認証を統合するソリューションはありますか？私が知っておくべき他の標準的な解決策はありますか？

正しいユーザーのみがアクセスできる何千ものユーザーのフォルダーを含むプライベートフォルダーがあります。ユーザーは他のユーザーのフォルダーにアクセスできません。ユーザーのサブフォルダーごとに web.config 承認規則を作成することしか考えられません。この場合、1 つの web.config ファイルに各ユーザーのすべてのルールを追加する必要はありません。

ユーザーごとに一意の web.config ファイルを作成する代わりに、1 つの web.config を使用するだけで、この問題に対処する他の方法があるのではないかと考えています。

サイト内のリソースを他のサイトと共有するために OAuth を調査しています。しかし、数日前に OAuth 仕様の穴が報告されました。 http://oauth.net/advisories/2009-1

多くのサイトは、修正版がリリースされるまで OAuth を停止することにしました。

現在、OAuth に代わるものはありますか? オープンスタンダードで安全な承認プロトコルが必要です。

htpasswdを使用してapacheのパスワードファイルを作成できることは知っていますが、システムの有効なユーザーまたはグループを使用するように構成するにはどうすればよいですか？

利用可能なオープンソースの集中認証サービスはありますか？認証情報を一元化するためのソリューションはたくさんありますが（例：CASやJOSSO）、認証情報についてはどうでしょうか。

いくつかの非常に優れた承認フレームワーク（例：Spring Security（以前のAcegi）とSeam Security）がありますが、これらを個々の層またはサービスに統合する必要があるようです。つまり、スタンドアロンで実行するのは簡単ではありません。SOAを使用する場合、認証だけでなく承認情報（つまり、役割、権限、ルールなど）も一元化することは非常に価値があるように思われます。

助言がありますか？

iPhoneアプリケーションからクレジットカード決済を受け入れるオプションは何ですか? これは、iPhone 固有の Web サイトではなく、スタンドアロンのアプリケーションになります。Authorize.netのような支払いゲートウェイと統合できますか? Paypal や Google チェックアウトはどうですか? 一部の Web サイトでは、支払い承認のためにペイパル サイトに移動することを知っています。これは、ユーザーを別の Web サイト (アプリからは利用できない) に強制する代わりに、http 要求を介して行うことができますか? SSL証明書をインストールできないため、iPhoneからのこれらの支払いにセキュリティ上の懸念はありますか?

3.0 リリースで利用できるようになる Apple のマイクロペイメントは使いたくありません。少額の料金がたくさん発生するからです。毎回 30% を Apple に渡したくありません。

これは可能でしょうか? それとも、顧客が事前に私の Web サイトでアカウントを作成し、クレジット カードで支払い、iPhone を私のデータベースとやり取りして利用可能な残高 (Web 経由で請求した金額) を取得する必要がありますか?

ユーザーのログイン情報を認証した後、次のセッションを作成します。

次に、次のようにリダイレクトします。

ウェブサイトに次のような美容URLを設定したい。www.domain.com/profile/userName

したがって、すべてのリダイレクトリンク（HTML<a>タグまたはPHPheader()関数）で、次のものを使用します。

セキュリティの抜け穴はありますか？

編集：

最初にを使用してセッションIDを作成する必要がありますsession_id()か？

だから、チェックするには：

ワイルド?カードは認証されていないユーザーを*表し、認証済みおよび未認証のすべてのユーザーを表します。私の本には、次の URL 承認の例が示されています。

しかし、上記のコードは以下と同じ効果がありますか?

<deny users="?" />または、著者は理由でルールも含め ましたか?

<location>A)タグを使用して特定のファイルへのアクセスを制御することもできます。<location>要素がタグ内に含まれていないのに、要素内<system.web>に直接ネストされているのはなぜ <configuration>ですか?

B)<system.web>要素が Asp.Net 設定に使用されていることは認識していますが、なぜ<location> 含まれているの<system.web>ですか? <system.web>ファイルがAsp.Netアプリケーションに含まれている場合にのみ、内部で指定された設定が適用されるように指定するようですか?

<location>もしそうなら、それはその要素がAsp.Net以外のアプリケーションにも使用できることを示唆していますか?

ありがとう