簡體 English 中英

創建授權令牌及其可以訪問的內容時的最佳實踐

[英]Best practice when creating authorization tokens and what they can access

原文 2018-03-19 13:31:56 2 1 security/ authorization

考慮以下：

登錄到一個安全的網站。
登錄后，顯示指向另一個更安全頁面的鏈接。
登錄后，顯示按鈕“全部擦除”。

一方面，您可以創建一個授權令牌 T1 用於訪問項目 1，另一個令牌 T2 用於訪問項目 2 和令牌 T3 用於訪問項目 3。這意味着如果用戶希望能夠執行所有這三個操作，則用戶必須擁有所有三個令牌（T1、T2、T3）。

另一方面，您可以為項目 1 創建授權令牌 T1。然后您可以創建令牌 T2，它允許您同時執行項目 1 和項目 2。令牌 T3 允許您執行所有三項。 這意味着用戶只需擁有令牌 T3 即可完成這三項操作。

設計授權令牌及其可以訪問的內容時的最佳做法是什么？

1 個解決方案

不確定最佳實踐，但對我來說，如果您可以更清楚地提供您的用例，那么實施授權令牌似乎會更好。

此外，您可以使用 OAuth2.0 來幫助簡化安全實施。 特別是對於 OAuth2.0，您可以有一個通用的身份驗證提供程序來證明身份，然后基於身份令牌將其與您的應用程序交換以獲得特定於該用戶身份的授權令牌。

這樣一來，用戶只需登錄一個提供商，並通過 OAuth 自動獲得對他們列入白名單的應用程序的授權。

流星服務訪問令牌安全性的最佳實踐

[英]Best practice for security of Meteor service access tokens

使用JavaScript創建IFRAME的最佳實踐是什么？

[英]What is the best practice creating IFRAME using JavaScript?

業務層中授權的最佳實踐？

[英]Best practice for authorization in the business layer?

OAuth 2.0授權服務器和訪問令牌

[英]OAuth 2.0 Authorization Server and Access Tokens

在Rails中，授權用戶訪問模型的最佳做法是什么？

[英]In Rails, what's the best practice for authorizing a user's access to a model?

Keycloak 授權 - 最佳實踐角色與組

[英]Keycloak Authorization - best practice roles vs groups

EmberJS授權和用戶角色：最佳實踐

[英]EmberJS Authorization and User Roles: Best Practice

什么是反應中的“功能阻止”的最佳實踐？

[英]What is best practice when it comes to "feature blocking" in react?

修復SSRF的最佳實踐是什么？

[英]What is the best practice to fix SSRF?

訪問令牌持久性最佳實踐 (iOS)

[英]Access Tokens Persistence Best Practices (iOS)

暫無

暫無

聲明:本站的技術帖子網頁，遵循CC BY-SA 4.0協議，如果您需要轉載，請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 流星服務訪問令牌安全性的最佳實踐使用JavaScript創建IFRAME的最佳實踐是什么？業務層中授權的最佳實踐？ OAuth 2.0授權服務器和訪問令牌在Rails中，授權用戶訪問模型的最佳做法是什么？ Keycloak 授權 - 最佳實踐角色與組 EmberJS授權和用戶角色：最佳實踐什么是反應中的“功能阻止”的最佳實踐？修復SSRF的最佳實踐是什么？訪問令牌持久性最佳實踐 (iOS)

相關標簽

粵ICP備18138465號 © 2020-2024 STACKOOM.COM