1. 基于sso的web系统怎么实现权限管理
单点登录SSO(Single Sign On)说得简单点就是在一个多系统共存的环境下,用户在一处登录后,就不用在其他系统中登录,也就是用户的一次登录能得到其他所有系统的信任。单点登录在大型网站里使用得非常频繁,例如像阿里巴巴这样的网站,在网站的背后是成百上千的子系统,用户一次操作或交易可能涉及到几十个子系统的协作,如果每个子系统都需要用户认证,不仅用户会疯掉,各子系统也会为这种重复认证授权的逻辑搞疯掉。实现单点登录说到底就是要解决如何产生和存储那个信任,再就是其他系统如何验证这个信任的有效性,因此要点也就以下几个: 存储信任 验证信任 只要解决了以上的问题,达到了开头讲得效果就可以说是SSO。最简单实现SSO的方法就是用Cookie,实现流程如下所示: 常用的两种web单点登录SSO的实现原理X 不然发现以上的方案是把信任存储在客户端的Cookie里,这种方法虽然实现方便但立马会让人质疑两个问题: Cookie不安全 不能跨域免登 对于第一个问题一般都是通过加密Cookie来处理,第二个问题是硬伤,其实这种方案的思路的就是要把这个信任关系存储在客户端,要实现这个也不一定只能用Cookie,用flash也能解决,flash的Shared Object API就提供了存储能力。 一般说来,大型系统会采取在服务端存储信任关系的做法,实现流程如下所示: 常用的两种web单点登录SSO的实现原理 以上方案就是要把信任关系存储在单独的 SSO系统(暂且这么称呼它)里,说起来只是简单地从客户端移到了服务端,但其中几个问题需要重点解决: 如何高效存储大量临时性的信任数据 如何防止信息传递过程被篡改 如何让SSO系统信任登录系统和免登系统 对于第一个问题,一般可以采用类似与memcached的分布式缓存的方案, 既能提供可扩展数据量的机制,也能提供高效访问。对于第二个问题,一般采取数字签名的方法,要么通过数字证书签名,要么通过像md5的方式,这就需要SSO系统返回免登URL的时候对需验证的参数进行md5加密,并带上token一起返回,最后需免登的系统进行验证信任关系的时候,需把这个token传给SSO系统,SSO系统通过对token的验证就可以辨别信息是否被改过。对于最后一个问题,可以通过白名单来处理,说简单点只有在白名单上的系统才能请求生产信任关系,同理只有在白名单上的系统才能被免登录。 通过第二种方案的演变,可以使用发放票据的方式实现websso登录: 常用的两种web单点登录SSO的实现原理 通过第三种方式,客户端只做票据的发放和获取,不涉及用户信息传输,用户信息均可交给子系统和SSO系统之间处理,更有效保护用户隐私。 以上只是提供了些简单的实现技术,但需要强调的是这只是技术实现而已,仅仅是为了解决上面谈到的一些问题,SSO本身来说并不是什么高科技,有了这个认识比较有利于我们深入探索SSO
2. java web的用户角色权限管理是如何实现的
用户权限管理一般是用servlet的过滤器来实现的。
过滤器会过滤访问相关资源(这个是在web.xml里面配置的)的请求。
如果楼主要实现防止未登录用户访问相关资源。只要在过滤器里判断该用户是否登录,也就是楼主所说的session中的用户状态属性。是登陆的则放行,否则拒绝。
过滤器的用法就不在这里写了,网上很多的。
不知能否解决楼主的问题呢?
3. 怎么样实现基于Web的权限管理框架功能
解决复杂的权限管理问题的过程可以抽象概括为:判断【Who是否可以对What进行How的访问操作(Operator)】这个逻辑表达式的值是否为True的求解过程。这里涉及的相关概念说明如下:
l Who:权限的拥有者或主体。典型的有Principal、User、Group、Role、Actor等等。本框架的访问控制方法会采用“基于角色的访问控制(主,公认的有效方法)+ 针对个别用户的访问控制(辅,增加灵活性) + 用户组”(这一点参见[访问控制方法的考虑]一节),所以直接跟授权有关系的实体就只有角色(Role)和用户(User)。譬如:业务经理(Role),张三(User)
l What:权限针对的资源(Resource)(包括资源类别(the type of Resource)和资源实例(the instance of Resource))。譬如:报表。
l How:亦作action,表示某种访问方法(亦请参考Operator条目解释)。譬如:删除。
l Operator:操作。表示施加于What的How动作。是一种Resource Related的概念,单独的How动作是没有实际意义的,譬如:删除;只有与具体资源结合在一起才有意义,譬如:删除报表。
4. Java Web如何做好权限控制
控制访问权限不是通过session的
是数据库中的字段
数据库中要定义几个 权限
比如: 游客、普通用户、会员、管理员、版主、超级版主 等
上面是举例
然后大的方面可以控制为 登录用户 和 游客
即没有登录的全是游客,通过这个可以进行页面显示的控制
然后针对于登录用户
在登录的时候,将用户权限同时查询出来,存入session中
然后在jsp中就可以通过session中存入的权限来控制页面的显示
5. JavaWeb项目里的 关于权限控制,是怎样实现的呢
一般用了3张表
1.用户表(存储所有用户,有一个字段表示用户的所属组如,管理员是0)
2.路径表(存储你的所有页面路径)
3.权限表(存储用户和路径的关系,0对应一些路径)
查询的时候用0去权限表查出所有对应的路径
6. 基于sso的web系统怎么实现权限管理
单点登录SSO(Single
Sign
On)说得简单点就是在一个多系统共存的环境下,用户在一处登录后,就不用在其他系统中登录,也就是用户的一次登录能得到其他所有系统的信任。单点登录在大型网站里使用得非常频繁,例如像阿里巴巴这样的网站,在网站的背后是成百上千的子系统,用户一次操作或交易可能涉及到几十个子系统的协作,如果每个子系统都需要用户认证,不仅用户会疯掉,各子系统也会为这种重复认证授权的逻辑搞疯掉。实现单点登录说到底就是要解决如何产生和存储那个信任,再就是其他系统如何验证这个信任的有效性,因此要点也就以下几个:
存储信任
验证信任
只要解决了以上的问题,达到了开头讲得效果就可以说是SSO。最简单实现SSO的方法就是用Cookie,实现流程如下所示:
常用的两种web单点登录SSO的实现原理X
不然发现以上的方案是把信任存储在客户端的Cookie里,这种方法虽然实现方便但立马会让人质疑两个问题:
Cookie不安全
不能跨域免登
对于第一个问题一般都是通过加密Cookie来处理,第二个问题是硬伤,其实这种方案的思路的就是要把这个信任关系存储在客户端,要实现这个也不一定只能用Cookie,用flash也能解决,flash的Shared
Object
API就提供了存储能力。
一般说来,大型系统会采取在服务端存储信任关系的做法,实现流程如下所示:
常用的两种web单点登录SSO的实现原理
以上方案就是要把信任关系存储在单独的
SSO系统(暂且这么称呼它)里,说起来只是简单地从客户端移到了服务端,但其中几个问题需要重点解决:
如何高效存储大量临时性的信任数据
如何防止信息传递过程被篡改
如何让SSO系统信任登录系统和免登系统
对于第一个问题,一般可以采用类似与memcached的分布式缓存的方案,
既能提供可扩展数据量的机制,也能提供高效访问。对于第二个问题,一般采取数字签名的方法,要么通过数字证书签名,要么通过像md5的方式,这就需要SSO系统返回免登URL的时候对需验证的参数进行md5加密,并带上token一起返回,最后需免登的系统进行验证信任关系的时候,需把这个token传给SSO系统,SSO系统通过对token的验证就可以辨别信息是否被改过。对于最后一个问题,可以通过白名单来处理,说简单点只有在白名单上的系统才能请求生产信任关系,同理只有在白名单上的系统才能被免登录。
通过第二种方案的演变,可以使用发放票据的方式实现websso登录:
常用的两种web单点登录SSO的实现原理
通过第三种方式,客户端只做票据的发放和获取,不涉及用户信息传输,用户信息均可交给子系统和SSO系统之间处理,更有效保护用户隐私。
以上只是提供了些简单的实现技术,但需要强调的是这只是技术实现而已,仅仅是为了解决上面谈到的一些问题,SSO本身来说并不是什么高科技,有了这个认识比较有利于我们深入探索SSO
7. 如何设置 Web 服务器的权限
如何设置 Web 服务器的权限?如果Web服务器的权限没有设置好,那么网站就会出现漏洞并且很可能会出现被不怀好意的人黑掉的情况。我们不应该把这归咎于 IIS 的不安全。如果对站点的每个目录都配以正确的权限,出现漏洞被人黑掉的机会还是很小的(Web 应用程序本身有问题和通过其它方式入侵黑掉服务器的除外)。下面是我在配置过程中总结的一些经验,希望对大家有所帮助。
IIS Web 服务器的权限设置有两个地方,一个是 NTFS 文件系统本身的权限设置,另一个是 IIS 下网站->站点->属性->主目录(或站点下目录->属性->目录)面板上。这两个地方是密切相关的。下面以实例的方式来讲解如何设置权限。
IIS 下网站->站点->属性->主目录(或站点下目录->属性->目录)面板上有:
脚本资源访问
读取
写入
浏览
记录访问
索引资源
6 个选项。这 6 个选项中,“记录访问”和“索引资源”跟安全性关系不大,一般都设置。但是如果前面四个权限都没有设置的话,这两个权限也没有必要设置。在设置权限时,记住这个规则即可,后面的例子中不再特别说明这两个权限的设置。
另外在这 6 个选项下面的执行权限下拉列表中还有:
无
纯脚本
纯脚本和可执行程序
3 个选项。
而网站目录如果在 NTFS 分区(推荐用这种)的话,还需要对 NTFS 分区上的这个目录设置相应权限,许多地方都介绍设置 everyone 的权限,实际上这是不好的,其实只要设置好 Internet 来宾帐号(IUSR_xxxxxxx)或 IIS_WPG 组的帐号权限就可以了。如果是设置 ASP、PHP 程序的目录权限,那么设置 Internet 来宾帐号的权限,而对于 ASP.NET 程序,则需要设置 IIS_WPG 组的帐号权限。在后面提到 NTFS 权限设置时会明确指出,没有明确指出的都是指设置 IIS 属性面板上的权限。
例1 —— ASP、PHP、ASP.NET 程序所在目录的权限设置:
如果这些程序是要执行的,那么需要设置“读取”权限,并且设置执行权限为“纯脚本”。不要设置“写入”和“脚本资源访问”,更不要设置执行权限为“纯脚本和可执行程序”。NTFS 权限中不要给 IIS_WPG 用户组和 Internet 来宾帐号设置写和修改权限。如果有一些特殊的配置文件(而且配置文件本身也是 ASP、PHP 程序),则需要给这些特定的文件配置 NTFS 权限中的 Internet 来宾帐号(ASP.NET 程序是 IIS_WPG 组)的写权限,而不要配置 IIS 属性面板中的“写入”权限。
IIS 面板中的“写入”权限实际上是对 HTTP PUT 指令的处理,对于普通网站,一般情况下这个权限是不打开的。
IIS 面板中的“脚本资源访问”不是指可以执行脚本的权限,而是指可以访问源代码的权限,如果同时又打开“写入”权限的话,那么就非常危险了。
执行权限中“纯脚本和可执行程序”权限可以执行任意程序,包括 exe 可执行程序,如果目录同时有“写入”权限的话,那么就很容易被人上传并执行木马程序了。
对于 ASP.NET 程序的目录,许多人喜欢在文件系统中设置成 Web 共享,实际上这是没有必要的。只需要在 IIS 中保证该目录为一个应用程序即可。如果所在目录在 IIS 中不是一个应用程序目录,只需要在其属性->目录面板中应用程序设置部分点创建就可以了。Web 共享会给其更多权限,可能会造成不安全因素。
总结: 也就是说一般不要打开-主目录-(写入),(脚本资源访问) 这两项以及不要选上(纯脚本和可执行程序),选(纯脚本)就可以了.需要asp.net的应用程序的如果应用程序目录不止应用程序一个程序的可以在应用程序文件夹上(属性)-目录-点创建就可以了.不要在文件夹上选web共享.
例2 —— 上传目录的权限设置:
用户的网站上可能会设置一个或几个目录允许上传文件,上传的方式一般是通过 ASP、PHP、ASP.NET 等程序来完成。这时需要注意,一定要将上传目录的执行权限设为“无”,这样即使上传了 ASP、PHP 等脚本程序或者 exe 程序,也不会在用户浏览器里就触发执行。
同样,如果不需要用户用 PUT 指令上传,那么不要打开该上传目录的“写入”权限。而应该设置 NTFS 权限中的 Internet 来宾帐号(ASP.NET 程序的上传目录是 IIS_WPG 组)的写权限。
如果下载时,是通过程序读取文件内容然后再转发给用户的话,那么连“读取”权限也不要设置。这样可以保证用户上传的文件只能被程序中已授权的用户所下载。而不是知道文件存放目录的用户所下载。“浏览”权限也不要打开,除非你就是希望用户可以浏览你的上传目录,并可以选择自己想要下载的东西。
总结: 一般的一些asp.php等程序都有一个上传目录.比如论坛.他们继承了上面的属性可以运行脚本的.我们应该将这些目录从新设置一下属性.将(纯脚本)改成(无).
例3 —— Access 数据库所在目录的权限设置:
许多 IIS 用户常常采用将 Access 数据库改名(改为 asp 或者 aspx 后缀等)或者放在发布目录之外的方法来避免浏览者下载它们的 Access 数据库。而实际上,这是不必要的。其实只需要将 Access 所在目录(或者该文件)的“读取”、“写入”权限都去掉就可以防止被人下载或篡改了。你不必担心这样你的程序会无法读取和写入你的 Access 数据库。你的程序需要的是 NTFS 上 Internet 来宾帐号或 IIS_WPG 组帐号的权限,你只要将这些用户的权限设置为可读可写就完全可以保证你的程序能够正确运行了。
总结: Internet 来宾帐号或 IIS_WPG 组帐号的权限可读可写.那么Access所在目录(或者该文件)的“读取”、“写入”权限都去掉就可以防止被人下载或篡改了
例4 —— 其它目录的权限设置:
你的网站下可能还有纯图片目录、纯 html 模版目录、纯客户端 js 文件目录或者样式表目录等,这些目录只需要设置“读取”权限即可,执行权限设成“无”即可。其它权限一概不需要设置。 上面的几个例子已经包含了大部分情况下的权限设置,只要掌握了设置的基本原理,也就很容易地完成能其它情况下的权限设置。
8. java web的用户角色权限管理是如何实现的
权限判断用XML的比较多。不需要分支语句的代码。直接读取XML文件,生成相应HTML就可以了。也就是你的XML或者数据表中有某权限哪些按钮可用,哪些不具备,读取数据表数据或XML,然后用代码生成HTML,就是权限控制的效果了
9. 关于web项目鉴权的一些思考与三种实现方式
项目登陆校验是一个项目的根基,鉴权又是根基之本。先结合实际的项目背景来解释什么是鉴权:有选课系统,会分成学生登陆,老师登陆,超级管理员登陆。那不同的人登陆的时候看到的菜单,内容会不一样。此时就不能只是鉴别账号密码是否正确,还要带上登陆人相应的操作权限。
下面我就来谈谈,项目中常用到的鉴权几种形式:
参考网址:
http://blog.51cto.com/5148737/2308131
https://blog.csdn.net/sinat_29899265/article/details/80771330
PS:个人觉得这种方式比较麻烦,不容易理解与配置,不推荐。
关于二者的书写方法可以参考博主之前的博客: Fliter和Interceptor区别与@Autowired报错(空指针)解决 ,还是推荐采用springMVC的Interceptor,可以很便捷的对url进行模糊的通配符**匹配拦截。
具体有两种写法:
其中Account继承User类(springSecurity自带的,实现了UserDetails接口的类),调用父类的初始化方法。
private final Set<GrantedAuthority> authorities; 是springsecurity里面user的成员变量。 这样子user对象带上了BBBB和AAAA的权限,然后再将整个user给注册到springsecurity中:
那么就可以利用spring的上下文取出相应的Account对象的权限:
注:@PreAuthorize不仅可以注解在方法上,还可以注解在类上。
虽然springSecurity给我们封装了很好的一个接口,但是用起来比较笨重,并且灵活性感觉不够,尤其是采用方法一的形式。并且如果在antMatchers()里面配置的话,就不会进行鉴权了。所以当需要多种鉴权等比较灵活的情况下,还是推荐自行撰写拦截器,或者自行编写的方法用在 @PreAuthorize中。
10. c#web实现权限控制
个人的想法,仅供参考。不明白或者有好的建议,可以随时交流。(字段 只添加了关键的几个,可根据自己需要 自行修改)