0

我正在编写一个 Service Now 应用程序,它将匿名存储每个用户和日期的数据。这意味着管理员不应将记录与用户相关,但是,用户仍然应该能够看到他们的记录。

我想我需要抑制通常创建和修改的列,我打算使用工作流来解决这个问题。然后我想添加一个 ID 列来存储一些散列,但如果这是已知数据的散列(如用户 ID),任何管理员都可以轻松地对数据进行去匿名化。此外,管理员也可以恢复使用为每个用户存储的附加值。我希望这个过程尽可能简单,例如,如果用户每次交互时都必须重新输入密码,这是不可行的。理想情况下,有问题的值只有用户知道并存储在客户端上,但如果他们切换浏览器或清除 cookie,则可能会导致问题。

我很确定这是一个以前解决过的问题......

感谢您对此的任何意见!

4

1 回答 1

1

如果您的管理员有权访问您的服务器端脚本,我看不到您可以秘密生成和比较每个用户的哈希值,而他们无法获取代码并根据他们想要查看的用户的用户标准运行它.

如果你有服务器端代码,你可以保护你免受管理员的攻击,你可以散列 usercriteria + currentDate,将它存储在数据库中并读取它,如果已经有记录的话。

于 2019-10-18T08:22:50.770 回答