在PHP和Javascript中实现用户授权

原文

假设我有一个有效的会话和一个经过身份验证的用户,那么在具有 PHP / MysqL后端的应用程序和一个繁重的 JavaScript前端中实现用户授权有哪些方法?

我发现的大多数实现示例似乎都过于关注用户身份验证,而授权就是这样.例如,if语句检查用户的类型是否为admin.这对我来说似乎太过实施了.

在像我这样的实现中,无法知道用户在发起请求时所处的“页面”.因此,由PHP确定的仅为某些用户提供某些内容的方法对于我需要做的事情而言过于宽泛.

理想情况下,每个实体都有一种基于用户明确或用户所在的组或类型的访问控制列表.

我去了一家当地的书店,花了一个下午的时间浏览他们在PHP,MysqL和JavaScript上的所有内容.令人惊讶的是,大多数书籍几乎没有关于用户授权的任何内容.这吓坏了我!这必须由构建使用AJAX的大型Web应用程序的任何人解决,我似乎无法找到让我入门的东西.

我会感谢所有反馈,经验,技巧等(关于这个主题的任何书籍?)

PHP安全性似乎陷入了单一密码的黑暗时代,为一类特定页面的单个用户提供了一个令牌.您似乎希望在应用程序中获得更多细粒度,甚至可以根据登录令牌访问特定的资源.您对访问控制列表的想法是绝对正确的,是的,您已经发现了一个黑暗的秘密:没有人真正发布过如何设计或编写ACL机制.也就是说,它已经完成了.

首先,你熟悉unix file permissions吗?你在命令行的ls -l中看到的是-rwxr-xr-x. Unix选择了一种非常简化的ACL方法.每个登录的人都有一个用户ID(UID)和一个或多个组ID(GID)(whoami,组). Unix文件权限允许三个操作,Read,Write和Execute,它们可以打开或关闭.有2 ^^ 9个状态,这些权限很容易适合整数,然后Unix可以附加它
直接在文件系统中的文件整数.当用户尝试访问文件时,权限将从严格到允许进行比较,匹配允许的最宽松权限.因此,用户获得第一组权限,组获得第二组,任何人获得第三组权限.因此,可执行文件通常是755:只有所有者可以更改它,但任何人都可以阅读和使用它.

其次,LDAP是轻量级目录访问协议,旨在为多个网络用户提供对资源的访问. OpenLDAP是一种常见的Linux实现,而Windows Server上的Microsoft的Active Directory会说LDAP(有很多扩展). LDAP具有更强大的ACL系统.一般配置是通过[who] [授予的访问类型] [控制]访问[资源]或访问dn =“uid = matt,ou = Users,dc = example,dc = com”by * none以限制所有访问Matt的用户信息.对于更完整的讨论,我强烈推荐Mastering LDAP,特别是关于安全性的第4章. (这是我从我的直接知识中得到的一点.)我的印象是LDAP将这些信息存储在一个单独的数据库表中,但我不知道,也无法以这种或那种方式找到文档.我正在密切关注可能的架构.

简要总结一下:ACL采用用户令牌的概念,其中包含用户级别以上的可能组,以某种方式保护的对象集合,以及对这些部分的三个一致的可能操作 – 信息的3个维度. Unix存储其中两个维度,直接保护事物. OpenLDAP分别存储这三个维度,我们不太了解,但我怀疑是一个链接的树结构.

鉴于此,我们来看看如何为RESTful Web应用程序设计ACL系统.对于假设,我们会将您的应用程序分解为离散的可寻址单元 – 每个需要保护的东西都可以通过URI访问(http://example.com/users,http://example.com/page_pieces/ticker).我们的用户将是一个简单的UID / GID令牌 – 用户可以成为多个群组的一部分.最后,我们的可用操作将基于HTTP请求-GET,POST,PUT,DELETE等.我们现在需要一个能够有效处理三维数据数组的系统.我们的架构应该非常明显:( uri,userid,groupid,operations).我们故意将操作列反规范化为GET,…的字符串列表,所以我们只需要一个表.没有主键,因为我们永远不会真正通过ID查找.

查询将分两步完成:SELECT * FROM acl WHERE uri = @ uri,userid = @ userid将返回0或1行.如果它返回1行,我们就完成了并且可以grep permisssion以查看操作是否在列表中(使用*表示所有perms).如果我们得到0行,则运行第二个查询SELECT * FROM acl WHERE uri = @ uri,userid =’*’,groupid in(@groupid),它将再次返回0或某些行.如果它返回一些,循环并查看perms.如果它返回0,则执行最后一个查询SELECT * FROM acl WHERE uri = @ uri,groupid =’*’,它最终将返回0或1行.如果它返回1,请查看perms.如果返回0,则采取默认操作.

我们可以通过多种方式设置权限:

> INSERT INTO acl VALUES(@ uri,@ userid,”,’GET,POST’)允许单个用户GET或POST访问
>插入acl VALUES(@ uri,’*’,’admin,contributors’,DELETE’)
> INSERT INTO acl VALUES(@ uri,”)拒绝所有访问.

有几点需要注意:

>必须准确表达所有URI;这个解决方案无法设置更高级别的默认权限并让它们逐渐减少(作为对提问者的练习).> uri / uid / gid对的唯一性应该在某个时刻发生.应用程序可以处理它,或者在MysqL中,您可以执行ALTER TABLE acl ADD UNIQUE INDEX(uri,groupid)(查找其他DBMS中类似约束的文档).

在PHP和Javascript中实现用户授权的更多相关文章

  1. ios – 使用简洁的NSManagedObjectID URI形式?

    我想避免字符串操作,因为感觉到icky,但我会考虑它,如果这是唯一的方法.我唯一的混淆是在上面的例子中“EE13EA1E-D5F4-4E38-986D-3F4B0B03AEE4”部分来自哪里.为了重建一个有效的URI,我该如何访问该值?

  2. swift – 如何URI编码图像?

    究竟是什么意思?这是否意味着将图像转换为base64字符串,然后将其传递给请求?

  3. 如何在Android 4.0中的HTML5VFullScreen $SurfaceVideoView中获取HTML5视频URI?

    我想在用户点击视频控制栏中的全屏按钮时获取HTML5视频URI.根据this,Android4.0中的HTML5视频视图是SurfaceView,而不是VideoView.有人能告诉我如何在SurfaceVideoView中获取URI吗?这是我的代码.非常感谢.解决方法容易,使用反射.把它放在onShowCustomView()方法中:

  4. uri – 将android手机号码标签ID翻译成字符串

    嗨,我正在写一个小型的Android应用程序,密切工作的白色手机标签,但我不明白我是如何调整翻译Documentation中描述的uri值.我想要做的是将TYPE_HOME转换为Home等等.我目前的解决方案是列出所有已翻译的字符串,但它已经提出了很多问题.但我希望能够像地址簿和其他应用程序一样使用它.解决方法Android有一个内置的方法来做到这一点……

  5. 如何在我的Android应用程序中获取SQLite数据库的URI?

    我有一个带有名为“myTestDB”的数据库的Android应用程序,其中包含一个名为“list_items”的表.我想使用CursorgetContentResolver().query()方法来获取要添加到SimpleCursorAdapter的游标.query()方法的第一个参数是一个URI,我不确定URI应该是什么样子.解决方法它是相当简单的方法调用看起来像这样mDataBase.quer

  6. android.database.CursorIndexOutOfBoundsException:索引-1请求

    试试这个

  7. 在Android设备中使用ACTION_PICK意图仅显示电话号码的联系人

    我尝试浏览stackoverflow和其他网站中的所有线程,但找不到解决此问题的任何解决方案,尽管许多人已发布此问题.我没有在Android平台上工作太多,我可能错过了一些细微的细节,我相信必须有一个简单的方法来实现这一点.请建议.感谢您的帮助.谢谢.解决方法请使用以下代码

  8. android – 如何获取刚从相机捕获的图像路径

    下面是我的代码但是没有给我onActivity结果中的图像路径解决方法这对我有用……

  9. Android从Google云端硬盘获取Uri路径

    我有这个代码将文件上传到我的应用程序,当用文件管理器,dropBox或其他任何东西打开文件时,返回的路径是正确的,我可以访问它,我只是遇到谷歌驱动器的问题,它返回一些以“exposed_content”开头的路径,我不能以任何方式“解码”它,我搜索过并没有找到办法,任何人都有任何想法?解决方法使用附加的代码…从onActivity结果你将得到内容uri…将此uri传递给给定的方法…

  10. Android SyncAdapter回调

    我已经在SDK中的SimpleSyncAdapter示例项目中实现了SyncAdapter,AccountManager和私有ContentProvider.一切运作良好.现在,我想在从具有特定标志集的远程服务器下载新行时向用户显示一条消息.当Sync完成时,我需要从SyncAdapter进行回调,以便我可以执行查询并显示来自活动的消息.我在StackOverflow上看到了一些关于这个问题的问题

随机推荐

  1. PHP个人网站架设连环讲(一)

    先下一个OmnihttpdProffesinalV2.06,装上就有PHP4beta3可以用了。PHP4给我们带来一个简单的方法,就是使用SESSION(会话)级变量。但是如果不是PHP4又该怎么办?我们可以假设某人在15分钟以内对你的网页的请求都不属于一个新的人次,这样你可以做个计数的过程存在INC里,在每一个页面引用,访客第一次进入时将访问时间送到cookie里。以后每个页面被访问时都检查cookie上次访问时间值。

  2. PHP函数学习之PHP函数点评

    PHP函数使用说明,应用举例,精简点评,希望对您学习php有所帮助

  3. ecshop2.7.3 在php5.4下的各种错误问题处理

    将方法内的函数,分拆为2个部分。这个和gd库没有一点关系,是ecshop程序的问题。会出现这种问题,不外乎就是当前会员的session或者程序对cookie的处理存在漏洞。进过本地测试,includes\modules\integrates\ecshop.php这个整合自身会员的类中没有重写integrate.php中的check_cookie()方法导致,验证cookie时返回的username为空,丢失了登录状态,在ecshop.php中重写了此方法就可以了。把他加到ecshop.php的最后面去就可

  4. NT IIS下用ODBC连接数据库

    $connection=intodbc_connect建立数据库连接,$query_string="查询记录的条件"如:$query_string="select*fromtable"用$cur=intodbc_exec检索数据库,将记录集放入$cur变量中。再用while{$var1=odbc_result;$var2=odbc_result;...}读取odbc_exec()返回的数据集$cur。最后是odbc_close关闭数据库的连接。odbc_result()函数是取当前记录的指定字段值。

  5. PHP使用JpGraph绘制折线图操作示例【附源码下载】

    这篇文章主要介绍了PHP使用JpGraph绘制折线图操作,结合实例形式分析了php使用JpGraph的相关操作技巧与注意事项,并附带源码供读者下载参考,需要的朋友可以参考下

  6. zen_cart实现支付前生成订单的方法

    这篇文章主要介绍了zen_cart实现支付前生成订单的方法,结合实例形式详细分析了zen_cart支付前生成订单的具体步骤与相关实现技巧,需要的朋友可以参考下

  7. Thinkphp5框架实现获取数据库数据到视图的方法

    这篇文章主要介绍了Thinkphp5框架实现获取数据库数据到视图的方法,涉及thinkPHP5数据库配置、读取、模型操作及视图调用相关操作技巧,需要的朋友可以参考下

  8. PHP+jquery+CSS制作头像登录窗(仿QQ登陆)

    本篇文章介绍了PHP结合jQ和CSS制作头像登录窗(仿QQ登陆),实现了类似QQ的登陆界面,很有参考价值,有需要的朋友可以了解一下。

  9. 基于win2003虚拟机中apache服务器的访问

    下面小编就为大家带来一篇基于win2003虚拟机中apache服务器的访问。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧

  10. Yii2中组件的注册与创建方法

    这篇文章主要介绍了Yii2之组件的注册与创建的实现方法,非常不错,具有参考借鉴价值,需要的朋友可以参考下

返回
顶部