Вопросы с тегом «authorization»

2
Роль против контроля доступа на основе разрешений
Я пытаюсь понять присущий компромисс между ролями и разрешениями, когда дело доходит до контроля доступа (авторизации). Давайте начнем с данного: в нашей системе Разрешение будет детализированной единицей доступа (« Редактировать ресурс X », « Доступ к странице панели инструментов » и т. Д.). Роль будет набор разрешений 1+. Пользователь может …

1
SOA / Microservices: как обрабатывать авторизацию в межсервисных коммуникациях?
передний план Мы переходим от монолитной платформы к сервис-ориентированной архитектуре. Мы применяем очень простые принципы DDD и разделяем нашу область на различные ограниченные контексты. Каждый домен распространяется и предоставляет службу через веб-API (REST). Из-за характера нашего бизнеса у нас есть такие услуги, как бронирование , услуги , клиенты , продукты …

1
Где разместить ключ API: пользовательский заголовок HTTP против заголовка авторизации с пользовательской схемой
Я разрабатываю REST API, используя авторизацию / аутентификацию через ключ API. Я попытался выяснить, что является лучшим местом для этого, и обнаружил, что многие люди предлагают использовать собственный заголовок HTTP ProjectName-Api-Key, например, например: ProjectName-Api-Key: abcde но также возможно и идеологически правильно использовать Authorizationзаголовок с пользовательской схемой, например: Authorization: ApiKey abcde …

2
Должен ли я хранить свои заявки пользователей в токене JWT?
Я использую токены JWT в заголовках HTTP для аутентификации запросов к серверу ресурсов. Сервер ресурсов и сервер аутентификации - это две отдельные рабочие роли в Azure. Я не могу определиться, стоит ли мне сохранять заявки в токене или прикреплять их к запросу / ответу каким-либо другим способом. Список утверждений влияет …

2
Реализация DDD: пользователи и разрешения
Я работаю над небольшим приложением, пытаясь понять принципы доменного дизайна. В случае успеха это может быть пилот для более крупного проекта. Я пытаюсь следовать книге «Внедрение доменного дизайна» (Вон Вернон) и пытаюсь реализовать аналогичный простой дискуссионный форум. Я также проверил образцы IDDD на GitHub. У меня есть некоторые трудности с …

5
Система авторизации и аутентификации для микросервисов и потребителей
Мы планируем преобразовать систему нашей компании в систему на основе микросервисов. Эти микро-сервисы будут использоваться нашими внутренними приложениями компании и сторонними партнерами, если это необходимо. Один для бронирования, один для продуктов и т. Д. Мы не уверены, как справляться с ролями и областями применения. Идея состоит в том, чтобы создать …

2
Как спроектировать контроль доступа на основе ролей?
Я пытаюсь следовать модели контроля доступа к базам ролей, чтобы ограничить возможности пользователей в моей системе. Пока у меня есть следующие объекты: пользователи - люди, которые будут использовать систему. Здесь у меня есть имена пользователей и пароли. Роли - Коллекция ролей, которые могут иметь пользователи. Вещи, такие как ресурсы менеджера, …

8
Наказание пользователей за небезопасные пароли [закрыто]
В настоящее время этот вопрос не очень подходит для нашего формата вопросов и ответов. Мы ожидаем, что ответы будут подтверждены фактами, ссылками или опытом, но этот вопрос, скорее всего, вызовет дебаты, споры, опрос или расширенное обсуждение. Если вы считаете, что этот вопрос можно улучшить и, возможно, вновь открыть, обратитесь за …

1
Разница между «aud» и «iss» в jwt
Я хочу реализовать более надежную службу аутентификации, и jwtэто большая часть того, что я хочу сделать, и я понимаю, как писать код, но у меня возникли небольшие проблемы с пониманием различий между зарезервированными issи audутверждениями. Я понимаю, что один определяет сервер, который выдает токен, а другой относится к приложению, которое …

2
Авторизация пользователя с микросервисами
Должны ли микросервисы отвечать за обработку своих собственных авторизаций или вы считаете, что лучше иметь отдельную службу авторизации, которая будет использоваться всеми или подмножеством (в пределах одной бизнес-сферы) микросервисов? Для меня последнее имеет больше смысла, так как упрощает применение изменений, применение политик; это СУХОЙ и т. д. Однако он может …

2
печенье против сессии против JWT
Я читаю на аутентификацию / авторизацию в веб-приложениях. Кто-нибудь может подтвердить / исправить мои нынешние знания? Cookie-файлы: в ранней версии текстовый файл с уникальным клиентом идентифицировал всю остальную информацию, необходимую для клиента (например, роли) Сессия: в файл отправляется только уникальный идентификатор клиента (также называемый cookie), все остальное хранится на сервере …

2
Подражая Exchange Server «RBAC AuthZ» в моем собственном приложении… (есть что-то подобное?)
Exchange 2010 имеет модель делегирования, в которой группы командлетов winrm по существу группируются в роли, а роли назначаются пользователю. ( Источник изображения ) Это отличная и гибкая модель, учитывающая, как я могу использовать все преимущества PowerShell, используя правильные технологии низкого уровня (WCF, SOAP и т. Д.) И не требуя дополнительного …
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.