問題タブ [user-management]

基幹業務アプリケーション用のSilverlightを作成しており、FormsAuthenticationを使用しています。

ユーザー管理については、組み込みの「ASP.NET Webサイト管理ツール」を使用するか、Silverlightで独自のカスタムを作成するか（アプリケーションエクスペリエンスのこの部分を作成するか）を決定します。

2つのアプローチのそれぞれの長所と短所は何ですか？どちらが一番いいと思いますか？

私は長年のプログラマーですが、データベースの設計はほとんど行ったことがありません。そのため、開発中のソリューションに関するフィードバックを求めています。

説明

リモートサーバーに機密データを保存している数人 (10 人から 20 人) の顧客がいます。顧客は、ユーザーを持つ組織です。アクセスは、MySQL サーバーにアクセスするサーバー上で実行されている Java ソフトウェアを介して行われます。別のクライアント Java プログラムがサーバーにアクセスし、交換を行います。

データのプライバシーは非常に重要であるため、顧客ごとに個別の DB (スキーマ) を計画しています。各データベース内には、input、query、および admin の 3 つのユーザー レベルがあります。ユーザーはこれらのレベルのいずれかに該当し、DB に対するさまざまな権限を取得します。私はストアド プロシージャを使用してすべてを行うことを計画しているので、実際には特定の DB の一連のストアド プロシージャにアクセスしています。

最大の課題は、顧客の管理者ユーザーが、顧客のデータベースにのみアクセスできるユーザーを追加 (または削除) できる必要があることです。ユーザーは DB に対して一意である必要がありますが、MySQL インスタンスに対しては一意ではありません。たとえば、各顧客には「bob」という名前のユーザーがいるはずです。

質問

したがって、現在、これにアプローチする方法は2つあります。私が現在好んでいるのは、各ユーザーを、付与された権限を持つことができる実際の MySQL ユーザーにすることです。これにより、ロールが MySQL レベルで正しく指定したものだけを実行できるようになります。問題は、MySQL ユーザー名がすべての DB に対してグローバルであるため、名前の衝突です。ユーザーのcustomerID（各ユーザーではなく各顧客に固有）をDBにマップする「ルート」テーブルを作成し、そのDBのテーブルがユーザーの名前をユーザーIDにマップすることで解決しました。これが実際のMySQLユーザーです. Java サーバー ソフトウェアは、マップされたユーザー ID とユーザーのパスワードを使用して DB に接続し、処理を開始します。これを行うにはかなりの労力とフープジャンプが必要ですが、セキュリティの観点からは気に入っています。

もう 1 つの方法は、Java ソフトウェアが接続する DB に数人のベース ユーザーを配置し、各顧客の DB にユーザー名とパスワードを保存して独自の認証を作成することです。MySQL ではそれを防ぐことはできないため、適切な DB のみが変更され、適切な関数のみが呼び出されることなどを確認するのはソフトウェア次第です。基本ユーザーは、すべてのユーザー タイプに対してすべての権限を持っている必要があるため、Java ソフトウェアのソフトウェアの不具合や侵害が DB に悪影響を与える可能性があります。DB は簡単になりますが、ソフトウェアはやや複雑になります。

フィードバック

では、DB のベテランからこれについてフィードバックはありますか? このような問題をより良い方法で解決した人はいますか? 何かにコミットする前に、いくつかのアイデアを得ようとします。

ありがとう、マット

ASP.Net MVC 3 を使用するプロジェクトがあり、ユーザー管理を行いたいと考えています。私はこのようにしたい: http://mrgsp.md:8080/awesome/user

そのユーザー管理を行う方法は？

どうもありがとう

PHP アプリケーションでユーザー状態/ワークフロー処理を実装しようとしています。

現在持っている:

• 約 10 の異なる状態を持つユーザーベースのシステム (有効、無効、事前登録、登録解除、削除など)。
• さまざまなシステム イベントに基づいてユーザーが移行できる状態に関する定義済みのルール
• あちこちに散らばっている IF と SWITCH でいっぱいのかなり厄介な (しかしほとんどは機能している) システム

をしたい：

• 現在のIFfyユーザー状態処理を、それらのユーザー遷移ルール​​を定義できる「賢い」状態マシンに置き換えます
• 定義されたルールを視覚化できるようにする
• ユーザーが合法的な状態にのみなれるようにすることで、システムをより安全で防弾にします

私の研究:

ワークフローとステート マシンの PHP 実装について SO と他の場所の両方をチェックしましたが、有望な候補は次のようです。

• PEAR FSM http://www.indelible.org/php/FSM/guide.html
• または eZ コンポーネント ワークフローhttp://ezcomponents.org/docs/api/trunk/introduction_Workflow.html

上記のライブラリのいずれかを使用した経験に関するコメント、および/または必要なものへの適合性に関する意見、または他の場所へのヒントについての意見に感謝します。

C# の設定を使用すると、Visual Studio を使用して、Name、Location、Size などの設定のセットを割り当て、どのスコープ (アプリケーション/ユーザー) にするかを選択できます。

私の質問は、ユーザーごとに個別に一連の設定を使用できますか。同様に、すべてのユーザーが Name 、Surname 、 Department などの同じ属性を持つ User1、User2、User3 のようなユーザーを保存します。

したがって、設定を使用すると、User2 の同じものよりも、User1 の名前、姓、および部門を保存できます。

または、これらの Fields/Properties と Serialize/Deserialize into XML を使用して Object User を作成する方がよいでしょうか。

注: この質問の属性は単なる例です。

ユーザー管理 (認証、承認、登録、パスワード リマインダーなど) に使用できるスタンドアロン システムが見つかりません。

最も近いのは Symfony とFOSUserBundleを使用することですが、これは Symfony Bundle であるため、フレームワークに依存しているようです。これらを分離する方法、または少なくとも symfony のいくつかのコンポーネントのみをロードする方法はありますか?

以前に symfony を使用したことがあり、気に入っています。現在のプロジェクトのフレームワーク全体は必要ありません。

他の解決策を見つけることができませんでした。

ゲーム用の RESTful API を作成しようとしています。

このゲームは、匿名ユーザー (今すぐプレイしたいユーザー) と登録したいユーザーの両方をサポートします。

私が達成しようとしているのは、未登録のユーザーがまだ同じコンピューターを使用している間、それらに関連付けられたデータが永続化されることです。登録することを選択した人に対する適切なユーザーサポートもあり、うまくかみ合わせるのに苦労しています.

GET users/create Users.create ユーザーを返す新しい「匿名」ユーザーを作成します（およびそれによって識別できる一意のトークン）

POST users/register Users.register オプションのトークン (ユーザーが以前に匿名だった場合)、電子メール、およびパスワードを受け取ります。新しい登録ユーザーが作成されます (トークンが提供されている場合は同じトークンを使用するか、新しいユーザーが作成されます)。

POST auth/login Auth.login メールアドレスとパスワードを取得し、成功した場合はユーザーを返します

POST auth/authenticate一意のトークンを受け取り、データベースにトークンが存在するかどうかに基づいて 200/500 を返します。

基本的に、サーバーへのすべての呼び出しには、これらの一意のトークンのいずれかが必要です。それを使用して、関連付けられているユーザーを追跡できます。

登録ユーザー向けにある種の「remember me」機能を実装しようとすると、本当に混乱します。登録ユーザーがこれらの一意のトークンのいずれかを使用できる場合、それを記憶トークンとして使用できますか? これは、セキュリティ上、不適切な選択であり、多くのauth/authenticate失敗を引き起こす可能性があるようです。ユーザーが新しいコンピューターにログインするたびに、新しいトークンを作成する必要があるためです。

私は何かを完全に見逃していますか？このプロセス全体には、セキュリティ災害があちこちに書かれているようです。この種の行動のための良いレシピはありますか？

乾杯、

イアン

ユーザー管理を追加したい古いプロジェクトがあります。

Symfonyにはユーザーを簡単にするFOSUserBundleがあります。

UserBundleの恩恵を受けることができるように、Symfonyを古いプロジェクトに統合する方法はありますか？

tomcat-users.xmlかなり長い間オンラインで検索した後、JSPスクリプトを開いて手動で編集する以外に、JSPスクリプト内からユーザーを編集するための良い方法を見つけることができません。wwwユーザーに権限を付与する必要があるため、これはセキュリティの脆弱性であるだけでなく、tomcat-users.xmlTomcatを再起動して効果を確認し、変更を役に立たなくする必要があります。

tomcat-users.xmlデプロイメントは完全に内部的なものであるため、JSPを介して手動で編集することに完全に反対することはありません。.htaccessアプリケーションの一部は明らかにTomcatログインに依存しているため、ラッパーを介してApacheを編集することは問題外です（これは私の元の解決策でした）。

ユーザーを維持するためにTomcatに固有のより良い方法はありますか？Tomcat6.0を使用しています。

sqlite3を使用してtomcat6のユーザーを検証するにはどうすればよいのでしょうか。私はSQLタイプのサービスをインストールする権限を持っていないので、sqlite3に依存する必要があります。私の望みは、これを既存のデプロイメントのラッパーとして追加して、より優れたユーザー管理を提供することでした。

のすぐ隣に（テーブル：、）ファイルusers.dbがusers(username,password)あります。私はこれで編集しようとしました（失敗しました）：roles(username,role)tomcat-users.xml/etc/tomcat6server.xml

さらに、 http：sqlitejdbc-v056.jar //www.zentus.com/sqlitejdbc/からsqlite3用のJDBCドライバーを入手し、そこに配置しました（具体的にはにあります）。CATALINA_HOME/usr/share/tomcat6/lib/sqlitejdbc-v056.jar

このイライラしたTomcatの初心者からの助けをいただければ幸いです。ありがとうございました。