簡體 English 中英

如何為缺少資源的權限建模？

[英]How to model permissions for missing resources?

原文 2014-09-03 04:50:57 3 1 security/ rest/ permissions

我有以下REST資源：

/companies返回公司列表
/companies/{id}返回公司狀態
/companies/{id}/departments返回公司中的所有部門
/employee/{id}/departments返回員工所在的部門
/departments/{id}返回部門狀態

需要注意的是，一個部門知道其關聯的公司和員工，但是其URI不包含此信息。 如果該部門不存在，則無法知道它曾經與哪個公司/雇員相關聯（或該資源是否曾經存在）。 出於爭論的考慮，您應該假設部門URI方案不太可能更改（這是很長的話）。

/companies資源具有關聯的query許可權令牌。 當客戶引用不存在的公司/companies/{id}我檢查他們是否有權query 。 如果他們這樣做，則返回HTTP 404 ("Not Found") ，否則返回HTTP 403 ("Forbidden")

到現在為止還挺好。 當客戶端引用不存在的/departments/{id}資源時，就會出現此問題。 因為部門不存在，所以我無法弄清楚與該公司關聯的公司和query許可權令牌。

看來我們回到了經典的可用性/安全性折衷方案：

通過假定每個人都有權知道資源是否存在來提高可用性（返回明確的錯誤消息以指示出問題所在），或者
如果缺少資源或拒絕權限，則返回模糊的錯誤代碼以提高安全性（返回模糊的錯誤消息以隱藏資源是否存在或已定義權限）。

還有另一種方法嗎？

1 個解決方案

我最終放棄了query權限。 任何人都可以查找任何資源，只要他們知道其地址即可。 意思是，我不會試圖阻止未經授權的用戶找出資源是否存在。

安全權限模型

[英]Security Permissions Model

在 Serverless 中為不同的資源設置不同的權限

[英]Setting different permissions for different resources in Serverless

限制Web Worker的資源和權限

[英]Limiting a Web Worker's resources and permissions

Firestore篩選器錯誤：缺少權限或權限不足

[英]Firestore filter error: Missing or insufficient permissions

主JAR中缺少必需的權限清單屬性

[英]Missing required Permissions manifest attribute in Main JAR

如何復制ntfs權限

[英]How to copy ntfs permissions

如何更改AppDomain的權限？

[英]How to change permissions of AppDomain?

如何管理大量權限？

[英]How to manage a large number of permissions?

如何設置BroadcastReceiver權限（安全性）

[英]How to Set BroadcastReceiver Permissions (Security)

Android如何執行權限？

[英]How does Android enforce permissions?

暫無

暫無

聲明:本站的技術帖子網頁，遵循CC BY-SA 4.0協議，如果您需要轉載，請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 安全權限模型在 Serverless 中為不同的資源設置不同的權限限制Web Worker的資源和權限 Firestore篩選器錯誤：缺少權限或權限不足主JAR中缺少必需的權限清單屬性如何復制ntfs權限如何更改AppDomain的權限？如何管理大量權限？如何設置BroadcastReceiver權限（安全性） Android如何執行權限？

相關標簽

粵ICP備18138465號 © 2020-2024 STACKOOM.COM