权限系统设计指南

     

Spring Security中AuthorizationManager简介

38 6K

Spring Security是Spring 框架的扩展,可以轻松地将常见的安全实践构建到我们的应用程序中。这包括用户身份验证和授权、API 保护等等。在本教程中,我们将了解 Spring Secur.

如何从Spring Security 5迁移到Spring Security 6/Spring Boot 3

37 11K

Spring Security 6 带来了几项重大更改,包括删除类和已弃用的方法,以及引入新方法。从 Spring Security 5 迁移到 Spring Security 6 可以增量完成,而不.

Spring中实现微服务综合交易的验证和升级

24 13K

了解金融科技中的综合交易如何帮助确保质量和信心,验证重大更新或新功能后的业务功能。在金融科技应用程序、移动应用程序或网络中,在贷款申请等领域部署新功能需要仔细验证。使用真实用户数据(尤其是个人身份信息.

细粒度授权实施指南

50

随着网络威胁的日益复杂和监管要求的不断提高,实施强有力的授权机制变得至关重要。特别是细粒度授权,允许组织根据各种属性精细地控制对资源的访问,从而提供了强大的解决方案。在本文中,我们深入研究了细粒度授权.

Rust中实现JWT身份验证

86 9K

我们将讨论如何在 Rust 中使用 JSON Web Tokens (JWT) 实现身份验证。什么是 JWT?JSON Web 令牌 (JWT) 是一种紧凑、URL 安全的方式,用于通过 Web 在两.

保护API安全的16种最佳实践

33

通过以下 16 项实践保护您的API:.身份验证: 验证访问 API 的用户身份。授权 : 确定已验证用户的权限。数据删除 : 隐藏敏感数据以进行保护。加密:对数据进行加密,只有授权方可解码。错误处理.

比较SpringBoot和Node.js之间的JWT授权

47 10K

虽然两者都有其复杂性,但SpringBoot的学习曲线肯定更陡峭!Spring Boot 和 Node.js 都是流行的后端开发框架,它们都可以用于实现 JWT(JSON Web Token)授权机制.

Spring Security中的SecurityContext和SecurityContextHolder

58 3K

SecurityContext 和 SecurityContextHolder 是 Spring Security 的两个基本类。SecurityContext 用于存储当前已验证用户的详细信息,也称.

谷歌安全2规则:三个选择中只能取两个

36
当您编写代码来解析、评估或以其他方式处理来自互联网的不可信输入时,我们希望遵循一个简单的规则,以确保这样做足够安全!我们喜欢遵循一条简单的规则,以确保这样做足够安全。2规则是从以下选项中选择不超过 2.

单点登录(SSO)在云计算中的作用

43 2K

云计算已经改变了企业访问和管理其数据和应用程序的方式。随着基于云的生态系统日益复杂,更快的访问速度和更高的安全性至关重要。单点登录(SSO)在这种情况下成为游戏规则的改变者。在这篇文章中,我们将讨论S.

API 身份验证:产品经理综合指南

75 8K

在应用程序编程接口 (API) 领域,身份验证充当指南针,指导产品经理解决安全授予访问权限的复杂问题。本身份验证指南将深入探讨六种关键身份验证机制:用于简化单实体访问的 API 密钥、用于第三方集成复.

Golang 中实现基于 JWT 的身份验证

133 16K

在这篇文章中,我们将了解基于JWT(JSON Web Token)的身份验证如何工作,以及如何使用golang-jwt/jwt库在 Go 中构建服务器应用程序来实现它。JSON Web 令牌 (JWT.

ReBAC:兼容DDD的下一代授权模型

160 3K

ReBAC是一种基于关系的访问控制模型,与传统的RBAC和ABAC模型相比具有更高的表现力、细粒度和灵活性。它能够更准确地定义和管理用户的权限和角色,并且可以根据不同的业务领域进行定制。在Agicap.

Spring安全中HttpSecurity和WebSecurity比较

139 7K

在本教程中,我们将广泛探索和比较HttpSecurity和WebSecurity。我们的目标是了解它们独特的角色和功能。在 Spring Security 中,HttpSecurity 和 WebSe.

Okta安全漏洞的教训

124

Okta 的数据泄露事件导致 20 亿美元的市值损失,这提醒我们,改善安全状况和减少漏洞比以往任何时候都更加重要。从初创公司到大型企业,成千上万的公司都使用多普勒作为秘密的真相来源来磨练自己的安全态势.

讨厌Spring Security复杂性?

93

使用Spring Security很复杂吗?这是一个有关简化Spring 的简单用户管理框架/入门的开源工具:提供基于 Spring Security 的注册、登录、注销等功能。这个小框架允许您使用p.

权限管理策略对决:RBAC vs. ABAC vs. ReBAC

305 1 11K

与我们一起寻找史诗般的大逃杀中的最佳授权策略模型:RBAC vs. ABAC vs. ReBAC区分授权和身份验证非常重要 :区分两者就像理解 401 和 403 之间的区别一样简单: 401 - 当.

面向切面编程(AOP)在Spring Boot中的应用

502 2K

AOP 是一种软件开发方法,它将系统的各个方面(例如日志记录、错误处理和事务)与主要业务逻辑分开。这使我们能够获得更具可读性的代码。Spring Boot 提供了 AOP 机制,可以方便高效地使用这种.

如何跨平台管理密码等机密信息?

472 8K

管理密码、密钥和其他敏感信息对于保护数据和系统至关重要,但跨不同环境、平台和团队进行管理具有挑战性。以下是有关选择正确方法的一些指导。各种工具和技术——例如密钥管理服务、密码存储和配置管理工具——都可.

如何设计权限系统?

2046 4K
权限系统可以简单理解为权限限制,即不同的人拥有不同的权限,看到的和能用的可能不一样。对应于一个系统,一个用户可能有不同的数据权限和操作权限。主流的权限模型主要有两种: ACL 模型:访问控制列表 RB.

会话、cookie、JWT、令牌、SSO和OAuth 2.0简介

1799

这些术语都与用户身份管理有关。当你登录一个网站时,你声明你是谁(识别)。你的身份被核实(认证),你被授予必要的权限(授权)。过去已经提出了许多解决方案,而且这个名单还在不断增加。从简单到复杂,以下是A.

Airbnb内部员工权限的访问管理系统设计

1051 3K

Airbnb 如何为我们庞大的员工、承包商和呼叫中心员工团队安全地管理权限?Airbnb 是一家建立在信任之上的公司。这种信任的一个重要部分来自保护我们的客人和房东与我们共享的数据。我们这样做的方法之.

五种权限系统设计- Xu

1545 1
我们如何设计权限系统?下图列出了 5 种常用方法:1. ACL(访问控制列表) ACL 是一个规则列表,用于指定允许或拒绝哪些用户访问特定资源。优点 - 易于理解。缺点——容易出错,维护成本高2. D.

单点登录 (SSO):SAML、OAuth2、OIDC 简化

2313 2 4K
在本文中,我们将了解单点登录 (SSO) 和 SSO 广泛使用的两种协议,即 SAML 和OAuth2。这是任何程序员都需要理解的复杂领域之一。什么是单点登录?单点登录 (SSO) 是用户可以使用一组.

Apple可使用私有访问令牌确保HTTP请求来自人类

1121

私有访问令牌 (PAT) 可以证明 HTTP 请求何时来自人类而不是机器人。CAPTCHA 是当前的身份验证形式,但人类完成它需要时间。Apple 在 WWDC 2022 上展示了名为 Private.

Ory Kratos: 用 Go 编写的开源身份服务器

1862 1

具有 Ory 强化身份验证、MFA、FIDO2、配置文件管理、身份架构、社交登录、注册、帐户恢复、无密码的下一代身份服务器(想想 Auth0、Okta、Firebase)。Golang,无头,仅 AP.

Kubernetes RBAC工作原理 - Daniele

1003

但是,让我们先把RBAC放在一边,看看我们如何授权对应用程序的访问?最简单的想法是给用户分配权限: Mo是管理员,可以做任何事情 Alice是开发人员,有只读权限 这个授权系统是有用的,但有一个限制:.

使用OPA实现Spring安全授权 | baeldung

1527 8K

在本教程中,我们将展示如何将 Spring Security 的授权决策外部化到 OPA——开放策略代理。跨应用程序的一个共同要求是能够根据策略做出某些决定。当这个策略足够简单并且不太可能改变时,我们.

Java Spring中三个密码加密库包 - foojay

1094 7K

每当您需要在应用程序中实现密码哈希或散列时,您应该牢记一些最佳实践。永远不要自己实现密码哈希算法——改用经过严格审查的开发人员库!密码学是一个复杂的领域,如果你尝试自己实现一个流行的算法,就会出现很多.

四个微服务授权认证的最佳实践 - thenewstack

1449 1

在微服务架构中,开发人员处于一个棘手的位置,不仅要保护单个外部 API 网关,还要通过安全授权步骤保护每个单独的微服务 API。事实上,零信任架构的核心原则是每个请求都必须经过身份验证和授权。对于开发.