问题标签 [security-roles]

我们在 linux 机器上托管我们的门户页面。我应该在用户登录到他/她的 windows xp 桌面的地方实现单点登录，并且该登录由门户使用并用于适当地设置用户角色。我真的很想得到一些关于如何最好地工作的答案。

环境：Jboss 4.2.2GA Jboss portal 2.6.5 Redhat Enterprise Linux 5

我已经阅读了大量关于散列和加盐密码、做什么、不做什么等的信息。我看到的问题是：如果黑客要通过窃取散列密码列表的努力，他不是吗？那么可以访问所有受密码保护的数据吗？这就像将组合存储在保险箱中一样。闯入，窃取组合。如果我是小偷，我会拿走钱。

现在，一家大公司可能有一个单独的服务器，仅用于身份验证。然而，黑客想要的是数据，而不是密码。因此，如果两台服务器相同，我会闯入保存数据的那台。

我在这里遗漏了一些计算机安全的基本缺陷吗？是否有非社交方式在没有哈希文件的情况下破解密码？

感谢你的协助。

——戴夫

我需要设计一个基于 WCF 服务的系统来过滤 C# 中的角色请求

如何创建一个系统，在其中我可以将这些访问控制转换为哈希或计算出的数学值之类的东西，这样我就不必进行多次检查，例如

而是做这样的事情

注意：可能存在一对多关系

我目前正在尝试 Glasshfish v3 中的 JDBCRealm：我有 2 个角色 USER 和 ADMIN。

我有一个基于 request.isUserInRole("ADMIN") 方法重定向到 url（比如 /admin 或 /user）的 LoginServlet。

问题是当 ADMIN 登录时它返回 true，因此被重定向到 /admin 但他也可以访问 /user。当用户登录时 request.isUserInRole("ADMIN") 也返回 true。request.isUserInRole("NONEXISTINGROLE") 两者都返回 false。

例如：

request.isUserInRole("ADMIN") +" "+ request.isUserInRole("USER")+" "+ request.isUserInRole("NONEXISTINGROLE")

对于已登录的用户：返回 true true false

登录 ADMIN 返回 true true false

这是我的 web.xml 的一部分：

还有我的 sun-web.xml：

谢谢！

我的愿景包括拥有从 AD 推送的全局定义角色，但我也希望能够添加到 Context.User.IsInRole("ATransientRoleForThisDocumentOnly") 并进行这项工作......

我考虑过将角色推入 Thread.CurrentPrincipal 并传入 Context.User.Identity 和一系列角色，但我担心让所有你开箱即用的 ADRole，我真的只想添加一些 AdHoc 角色将在请求的整个生命周期内存活。

这似乎可能吗？所有角色管理器方法都是静态的，因此即使我做了自定义角色管理器，该管理器如何知道您是阅读者的文档 ID #1……而在文档 #2 上，您是读/写的？

我有一个 Web 项目 GUI ..

我第一次只与管理员合作。

因此，当管理员使用他的用户名和密码登录时，我使用表单身份验证将他重定向到默认页面“Default.aspx”。

但现在我还必须与客人一起工作......并且在登录时

1. 检查角色是否是来宾然后将他重定向到来宾页面而不是“Default.aspx”

2. 具有只读权限...例如，即使有选项，他也不应该能够对数据库进行任何更改

我正在使用这段代码：

这对我来说非常重要......任何建议将不胜感激......谢谢

对于访客的只读模式，SQL 或 IIS 中是否存在一些问题？？？？

我在我的 webconfig 中使用了这个

这有效..

也许换一种方式，如何使用 ACEGI 插件为 Grails 中的新注册用户设置默认安全角色？

我已经按照此处的 acegi/grails 教程进行操作，并且正在使用控制器注释——尽管我还没有得到任何保护。

我添加了名为 WEB_USER 的第二个角色，并已成功将用户添加到该角色。

但是，当我为另一个新用户使用注册控制器时，我从 Grails 收到一条错误消息，说"Default role not found".

我可以看到如何通过在适当的创建方法中处理空角色列表，或者甚至将默认角色名称作为隐藏字段从注册视图中发布回来，从而大致摆脱这种情况，但它们感觉不像 Grails。

我认为我应该能够在 User 域类本身中定义它，或者以某种方式在数据库中用户和角色表之间的关系中定义它。

定义默认角色的预期方式是什么，为什么我会收到此消息。

哦，你怎么发音acegi？

我正在用 PHP 开发一个自定义插件，因此现有插件不可用。我想要实现的是我想在帖子中为某些用户显示不同的 url。对于在 wordpress 中注册、联系我并获得“批准”的用户。我想设置这个额外的用户配置文件字段，以便我可以在条件中使用此字段。因此，没有此字段或此字段中没有正确值的客人和用户将获得 url1，而其他人将获得 url2。

要求

• 只有具有管理员角色的用户
• 可以创建/编辑额外的用户个人资料字段
• 对于所有其他用户

我知道如何在 Wordpress 中添加额外的用户个人资料字段（请参阅下面的链接），但我不知道如何将编辑该字段限制为给定角色的用户，以及具有管理员角色的用户如何创建/编辑该字段所有用户。在我看来，我必须在 wordpress 仪表板/用户/新用户和/或仪表板/用户/作者和用户下添加新代码。

我做了一些谷歌搜索，发现很少有关于如何添加额外用户个人资料字段的网站

• 添加和使用自定义用户配置文件字段
• WordPress 2.9 中的用户联系字段
• 在 WordPress 中将数据添加到用户字段

在我看来，添加和使用自定义用户配置文件字段几乎是我想要做的，但我仍然不知道如何管理“只有管理员”才能做到这一点。

我正在尝试向我的控制器添加授权，但它不起作用......

我不确定在我的程序中的哪里查看，但添加

我的控制器中的过滤器不起作用，更不用说类似的东西了

我已经能够在创建新 MVC 项目时提供的默认应用程序中使用它（即，如果我没有登录，我可以将“关于”选项卡重定向到登录屏幕），所以我假设我在构建应用程序的过程中把事情搞砸了。有谁知道我应该在哪里解决这个问题？我有用户，他们有角色；我正在使用自动创建的 ASP.net 架构；我已经上下检查了我的 web.config 文件，虽然我对此很陌生，但似乎没有什么不合适的。我不知道为什么我的授权过滤器不起作用.?。

我有一个自定义菜单，它利用了标准的 asp.net 站点地图。它运行良好，但我的一些页面是由 URL 重写器动态生成的，因此它们不位于站点地图 XML 文件中。目前，我推出了一个自定义解决方案，该解决方案通过 CSS 类显示/隐藏菜单项，并以编程方式检查用户所在的角色。在我访问站点地图文件中不存在的动态页面之前，它可以正常工作。我已经尝试使用安全修剪在站点地图文件中使用“角色”属性，但它不起作用，因为我有一个自定义菜单。

有没有一种方法可以利用站点地图文件中的角色属性来显示/隐藏下面我的自定义控件的菜单项，即使某些页面不在站点地图中？我的菜单控件如下...