问题标签 [access-control]

有很多 Rails 插件可以处理用户权限。我对 hobo gem 中的实现印象深刻，但我不确定我是否可以只使用这个功能而不是其他部分。GateKeeper 是一个非常聪明的实现，但有一些错误，虽然它足够小，我可能自己可以修复它。Restful_ACL 为您提供了一个用于检查创建的类方法，这意味着您无法对相关实例进行任何检查（不确定它是否会进行范围查找）。

我想要提供 ActiveRecord#find 的范围版本的东西，它只找到当前用户被允许看到的东西。这应该足够强大，您只能看到您或您的一位朋友拥有的画廊中的图片。

作为奖励，它可以防止您无权执行的创建或更新（在 before_* 或验证步骤中），包括将您自己的记录与不同的用户或画廊相关联，或创建此类记录。

我目前正在阅读http://www.cplusplus.com教程，我在这里遇到了这个部分：http ://www.cplusplus.com/doc/tutorial/inheritance.html 处理朋友功能的主题和C++ 中的朋友类。

我的问题是，什么时候在创建程序时谨慎使用友谊？

我得到的唯一线索是在文章中的一个示例中，该示例演示了一个“复制”对象的友元函数。

My network has a kerberos server for username/password authentication. Machines that run my application have functioning kerberos clients, so users can use kinit, etc.

How do I interact with the server programatically, from my own custom applications? The preferred language for an example is C.

I want users of my application to authenticate against a kerberos server before access to certain functions. I anticipate having to ask them for their username and password - kinit may not have been called.

The machines hosting the applications run OS X and Debian/Linux.

I believe the answer might well involve GSSAPI. If so, are there good tutorials for this?

我是使用 PHP 和 MySQL 创建 Web 应用程序的团队的一员。该应用程序将有多个具有不同角色的用户。该应用程序还将以地理分布的方式使用。

因此，我们需要创建一个访问控制系统来控制特定数据库记录的用户权限，即修改数据库查询以便只显示特定记录。例如，对于城市级别的用户，只应显示与用户的特定城市相关的记录，而对于国家级别的用户，应显示该国所有城市的记录。

我需要帮助设计一个可以处理此类信息检索的系统，而无需对 SQL 查询中的信息进行硬编码。

任何帮助，将不胜感激。

提前致谢

我需要为设备实现基于 ACL 的身份验证机制。该设备可以通过各种界面访问，如网页、TL1（基本上通过一些命令提示符）等。

我需要保持 ACL 逻辑集中，以便可以对来自任何接口的请求进行身份验证。

ACL 逻辑基本上会检查登录用户是否可以执行他尝试执行的操作。为此，我将创建组并将用户添加到这些组。每个组将维护该特定组下允许的操作列表。

有人可以建议是实现这一点的最佳方式吗？

是否有任何现有的软件/工具可以让我实现这一目标？有什么开源项目吗？

我是一名 C/C++ 程序员，也是 ACL 概念的新手。上面提到的模块是为 Linux 操作系统开发的。Web 界面将在 CGI 中。

提前致谢。

是否有任何理由使重写的 C++ 虚函数的权限不同于基类？这样做有什么危险吗？

例如：

C++ 常见问题解答说这是一个坏主意，但没有说明原因。

我在一些代码中看到了这个习语，我相信作者试图使这个类成为最终的，基于不可能覆盖私有成员函数的假设。然而，这篇文章展示了一个重写私有函数的例子。当然，C++ 常见问题的另一部分建议不要这样做。

我的具体问题：

1. 在派生类和基类中对虚拟方法使用不同的权限是否有任何技术问题？

2. 有任何正当理由这样做吗？

我正在尝试为网站实现最简单的共享“文件”文件夹，但希望具有“合理”级别的访问控制——即通过 hoi-polloi 不会随意上传多兆字节。

用户获得密码等。然后他们登录，一旦成功检查凭据，他们就会获得两种可能的访问权限之一 - 对文件的只读 (RO) 或读写 (RW) 访问。在这种情况下，“写”意味着他们可以上传文件。

用户管理/注册/密码提醒都可以手动处理——此时不需要代码。

做这个的最好方式是什么：

1. 在会话变量中写一个秘密？
2. 将某种限时会话密钥存储为本地 cookie？
3. 检查本地数据库以获取某种会话密钥？
4. （走向太复杂）使用 pukka .NET 身份验证机制

欢迎任何建设性的建议。如果有人能指出基于 C#/ASP.NET 的品种的一个很好的例子，我会特别高兴。

非常感谢

杰瑞。

我一直在考虑我即将开始开发的网络应用程序，并想知道我的常用方法是否可以改进。

在我最近的几个应用程序中，我创建了一个角色表（见下文）（例如CREATE POST，EDIT POST等），每个角色都有一个应用于它们的位域，因此我可以简单地在注册时为用户分配某些权限并稍后检查它们（例如$user->hasRight(CREATE_POST)）。

我想知道是否有更好的方法来解决这个问题。当权限没有具体链接到用户时肯定会令人困惑（我可以有一个表，其中每个权限都是一个布尔列，但这听起来只是一个小的改进） - 如果我改变一些会发生什么？

我不打算使用标准库（应用程序本身对我来说是一种学习体验：使用 postgresql、git 等）虽然我很高兴从它们那里获得灵感来构建我自己的——所以如果你觉得有什么特别之处我应该看看请这么说:)

我知道 DCOM 话题已经讨论过几次了。但是，我对（目前）可用的解决方案并不满意。这就是为什么我在这里开始一个新问题。

现在每个人都知道访问控制列表 (ACL) 存储了有关哪些用户可以对应用程序执行什么操作的信息，这些信息存储在注册表中 HKCL\AppID{GUID}[AccessPermission|LaunchPermission] 下。这些键包含二进制形式的“序列化 ACL”数据 (byte[])。

我根本不相信不可能将这些值与 System.Security.AccessControl 命名空间一起使用。必须有一种“反序列化”它们并在其中添加或删除条目的方法。

另外，我当然是在谈论 .NET 解决方案。可能需要也可能不需要 p/invoking 一些魔术 api 函数或实现一些奇怪的结构，但我确信可以实现一个很好且直观的 .NET 库，使我们能够从托管代码处理 DCOM 安全设置。

有谁知道该怎么做？

假设我有一Base堂课：

还有另一个（不同的）类继承自Base：

友谊也是遗传的吗？