问题标签 [user-management]

我正在为业务线应用程序创建一个 Silverlight，并且我正在使用表单身份验证。

对于用户管理，我决定是使用内置的“ASP.NET 网站管理工具”，还是在 Silverlight 中创建我自己的自定义事物（使这成为应用程序体验的一部分）。

这两种方法各自的优缺点是什么？你认为哪个最好？

我是一名长期程序员，但很少进行数据库设计。所以我正在寻求一些关于我正在开发的解决方案的反馈。

描述

我将有几个（10 到 20 个）客户在我的远程服务器上存储敏感数据。客户是拥有用户的组织。访问是通过运行在访问 MySQL 服务器的服务器上的 java 软件来完成的。一个单独的客户端 java 程序访问服务器并进行交换。

数据隐私非常重要，因此我计划为每个客户建立一个单独的数据库（模式）。在每个数据库中都有三个用户级别：输入、查询和管理员。用户适合其中一个级别并获得数据库的各种权限。我打算用存储过程做所有事情，所以他们真的可以访问特定数据库上的一组存储过程。

最大的挑战是客户的管理员用户必须能够添加（或删除）只能访问客户数据库的其他用户。用户对于数据库应该是唯一的，而不是 MySQL 实例。例如，每个客户都应该有一个名为“bob”的用户。

问题

所以我目前有两种方法可以解决这个问题。我目前更喜欢的是让每个用户都是一个真正的 MySQL 用户，可以拥有特权。这确保他们只能在 MySQL 级别执行他们的角色指定的内容。问题是名称冲突，因为 MySQL 用户名对所有数据库都是全局的。我通过有一个“根”表来解决这个问题，该表将用户的 customerID（每个客户唯一，而不是每个用户唯一）映射到数据库，然后该数据库中的表将用户名映射到用户 ID，然后是实际的 MySQL 用户. Java 服务器软件将使用映射的用户 ID 和用户密码连接到数据库，并开展业务。这样做需要付出很大的努力和跳跃，但从安全的角度来看，我喜欢它。

另一种方法是在 DB 中有几个基本用户供 Java 软件连接，然后通过在每个客户的 DB 中存储用户名和密码来编写我们自己的身份验证。由软件来确保只修改正确的数据库，只调用正确的函数等，因为 MySQL 中没有任何东西可以阻止它。基本用户必须拥有所有用户类型的所有权限，因此 Java 软件中的软件故障或妥协可能会对数据库造成不利影响。使数据库更容易，但软件更复杂一些。

反馈

那么有没有数据库老手对此有一些反馈？有没有人以更好的方式解决了这样的问题？在我们承诺某事之前尝试获得一些想法。

谢谢，马特

我有一个使用 ASP.Net MVC 3 的项目，现在我想做用户管理。我想让它像这样：http ://mrgsp.md:8080/awesome/user

怎么做那个用户管理？

多谢

我希望在 PHP 应用程序中实现用户状态/工作流处理。

目前有：

• 基于用户的系统，任何用户都可以处于大约 10 种不同状态（启用、禁用、预注册、取消注册、删除等）
• 根据不同的系统事件定义关于用户可以从哪个状态进入的规则
• 一个相当混乱（但大部分都在工作）的系统，其中充满了散布在各处的 IF 和 SWITCH

想要：

• 用允许定义那些用户转换规则的“智能”状态机替换当前的 IFfy 用户状态处理
• 允许可视化那些定义的规则
• 通过确保用户只能处于合法状态，使系统更加安全和防弹

我的研究：

我检查了 SO 和其他地方的工作流和状态机的 PHP 实现，有前途的候选人似乎是

• PEAR FSM http://www.indelible.org/php/FSM/guide.html
• 或 eZ 组件工作流程http://ezcomponents.org/docs/api/trunk/introduction_Workflow.html

我将不胜感激有关使用上述任何一个库的任何经验和/或关于我需要的适用性的意见或对其他地方的提示的意见。

使用C# 中的设置，我们可以使用 Visual Studio 分配一组设置，如名称、位置、大小等，并选择它应该在哪个范围（应用程序/用户）。

我的问题是，我可以为每个用户单独使用一组设置吗？就像我会保存用户的 User1,User2,User3 一样，其中每个用户都具有相同的属性，例如 Name ，Surname ， Department 。

因此，使用 Settings 可以为 User1 保存 Name 、 Surname 和 Department ，而不是为 User2 保存相同的东西。

或者使用这些字段/属性创建一个对象用户并序列化/反序列化为 XML 更好。

注意：此问题中的属性只是示例。

I can't find a standalone system that I can use for user management (authentication,authorization, register, password reminders...).

The closest it gets is using Symfony and FOSUserBundle but because it's a Symfony Bundle it seem to be dependant on the framework. Is there a way to separate these or at least to load only few components of symfony?

I've used symfony before and I like it; I just don't need the entire framework for the current project.

I couldn't find other solutions.

我正在尝试为游戏创建一个 RESTful API。

游戏将同时支持匿名用户（现在只想玩的用户）和愿意注册的用户。

我想要实现的是，当未注册用户仍在使用同一台计算机时，与他们关联的数据将被保留。我在为那些选择注册的人提供适当的用户支持方面遇到了麻烦。

GET users/create Users.create 将创建一个新的“匿名”用户，该用户将返回用户（以及可以识别的唯一令牌）

POST users/register Users.register 将采用可选令牌（如果用户之前是匿名的）、电子邮件和密码。它将创建一个新的注册用户（使用相同的令牌，如果提供了一个 - 或一个新用户）。

POST auth/login Auth.login 将获取电子邮件地址和密码，如果成功则返回用户

POST auth/authenticate将采用唯一令牌，根据令牌是否存在于数据库中返回 200/500。

基本上，对服务器的每次调用都需要这些唯一令牌之一。我将能够使用它来跟踪它与哪个用户相关联。

当我试图为注册用户实现某种“记住我”功能时，我真正感到困惑。如果注册用户拥有这些唯一令牌之一，我可以将其用作记住我的令牌吗？从安全角度来看，这似乎是一个糟糕的选择，并且可能导致很多auth/authenticate失败。由于每次用户在新计算机上登录时都必须创建新令牌。

我完全错过了什么吗？这整个过程似乎都写满了安全灾难。这种行为有什么好的方法吗？

干杯，

伊恩

我有一个旧项目，我想向其中添加用户管理。

Symfony 有FOSUserBundle，它使用户变得简单。

有没有办法将 Symfony 集成到旧项目中，以便我可以从 UserBundle 中受益？

tomcat-users.xml在网上搜索了一段时间后，除了打开并手动编辑它之外，我找不到从 JSP 脚本中编辑用户的好方法。这不仅是一个安全漏洞，因为我必须授予 www 用户权限tomcat-users.xml，而且我必须重新启动 Tomcat 才能看到任何效果，从而使任何更改都无用。

由于部署完全是内部的，我不会完全反对tomcat-users.xml通过 JSP 手动编辑。通过.htaccess包装器编辑 Apache 是不可能的（这是我最初的解决方案），因为应用程序的一部分显然取决于 Tomcat 登录。

Tomcat是否有更好的方法来维护用户？我正在使用 Tomcat 6.0。

我想知道如何使用 sqlite3 来验证 tomcat6 中的用户。我没有权限安装任何sql类型的服务，所以必须依赖sqlite3。我希望将此作为包装器添加到已经存在的部署中，以提供更好的用户管理。

我有一个users.db(tables: users(username,password), roles(username,role)) 文件，就tomcat-users.xml在/etc/tomcat6. 我尝试（不成功）server.xml用这个进行编辑：

此外，我从http://www.zentus.com/sqlitejdbc/sqlitejdbc-v056.jar获得了sqlite3的 JDBC 驱动程序并将其放入（具体位于）。CATALINA_HOME/usr/share/tomcat6/lib/sqlitejdbc-v056.jar

这个沮丧的 Tomcat noobie 将不胜感激任何帮助。谢谢你。