“基于UUID的访问控制”的思考

最新推荐文章于 2022-07-29 20:20:30 发布
最新推荐文章于 2022-07-29 20:20:30 发布
阅读量124 收藏
点赞数
分类专栏: 未分类

如果看一张艳照必须通过类似于这种方式:

https://na-1.samscloud.com/filesystem/7c56e3bb-7315-11de-914b-9308abf3aaca/9280a763-72bf-11de-a2cb-5f67c0b2f2e4/fd144fac-9734-41d5-a3f0-557a8ec0182c/preview/yan_zhao.jpg?AccessKeyId=020BSJ59NXG61HMSDKR2&Expires=1314666857&Signature=sLgO4WWBsjUmhAEiNR5D6GAhxoY%3D

访问控制问题是不是就被完美地解决了?因为理论上没有人会猜得出这么一个包含一堆UUID的URL来,所以不需要再做额外的控制,可以认为以某种方式知道这个URL的人就是被授予访问权限的人。

 

相比之下,如果你的数据以这种简单的RESTful URL来访问:

people/1

people/1/edit

而后台又没有一种安全机制来让服务器知道用户A只能操作p1,用户2只能操作p2 ... 那么用户A就可以通过发送一个HTTP request来达到操作其他用户数据的目的,因为1, 2, 3 ... 小孩都能猜得出来。

 

所以,如果你的数据ID不是自增型1, 2, 3 ... 而是UUID,同时URL又包含了Signature信息的话,你的后台只要检查一下UUID跟Signature(可以是对UUID用某种加密算法生成,而这个加密算法只有天知地知你知)是否匹配就可以了 ... 这样就不需要额外再设置一套复杂的规则来限制每个用户(组)所能操作的数据范围了,不用担心恶意的用户操作其他用户的数据,因为他不知道URL,更不知道Signature。

iteye_17702
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
js uuid生成_一个极小、安全、URL友好的uuid 生成 JS 库
weixin_39652810的博客
12-03 1936
Nano ID一个极小、安全、URL友好的uuid 生成 JS 库小。139个字节(缩小并压缩)。没有依赖关系。安全。它使用具有加密功能的随机API。可以在集群中使用。快速。它比UUID快16%。紧凑。它使用的字母大于UUID(A-Za-z0-9_-)。因此ID大小从36个符号减少到21个。支持所有浏览器,Node.js和React Native。与UUID的比较Nano ID与UUID v4(基...
越权问题的解决方案
啦啦啦的博客
01-25 1万+
一、横向越权和纵向越权 越权定义:一个正常的用户A通常只能够对自己的一些信息进行增删改查,但是由于程序员的一时疏忽未对信息进行增删改查的时候没有进行一个判断,判断所需要操作的信息是否属于对应的用户,可以导致用户A可以操作其他人的信息。​ 横向越权定义:攻击者尝试访问与他拥有相同权限的用户的资源。Web应用程序接收到用户请求,修改某条数据时,没有判断数据的所属人,或者在判断数据所属人时从用户提交的表...
Windows Server 2008 R2 系统管理篇(理论+实战)
04-08
本套教程是企业对外服务基础架构的重要组成部分,视频教程从初级到深入,环环相扣,一步一步渗透企业中的常见技术运用.对于企业网络中的基本核心架构的组成,精选了网络环境的管理、用户管理、共享文件系统的调试和管理,以及DHCP、DNS、Active Directory这几个常用的基础服务,并且对于全新出现的Server Core主机的部署与管理进行了详细介绍。
以游客身份进行页面访问uuid插件的使用
前端如逆水行舟...
07-29 534
这样在每次发送请求时都会通过请求头传递给服务器,在以游客身份获取购物车数据和支付详情时,服务器就可以返回数据,如果没有这个唯一标识,加入购物车的数据,服务器不会返回数据
Python-shortuuid一个生成器库用以生成简洁的明白的URL安全的UUID
08-10
shortuuid:一个生成器库,用以生成简洁的,明白的,URL 安全的 UUID
换掉 UUID,更快更安全!
Java精选
04-12 209
点击上方“Java精选”,选择“设为星标”别问别人为什么,多问自己凭什么!下方有惊喜留言必回,有问必答!每一天进步一点点,是成功的开始...UUID 是软件开发中最常用的通用标识符之一。然而,在过去的几年里,其他的竞品挑战了它的存在。其中,NanoID 是 UUID 的主要竞争对手之一。因此,在本文中,我们将展开讨论 NanoID 的功能、它的亮点以及它的局限性,以便让我...
windows环境UUID需要设置一下。
难得悠闲自得
06-10 2917
修改一下uuid.rb文件的146行。 @state_file = File.expand_path(File.join('~', '.ruby-uuid')) => @state_file = File.expand_path(File.join('D:\uuid_home', '.ruby-uuid'))   “~”需要自定义一下,否则出异常。 如:D:\uuid_home,...
pure-uuid:基于纯JavaScript的通用唯一标识符(UUID
05-29
它支持版本 1(基于时间和节点)、版本 3(基于名称,MD5)、版本 4(基于随机数)和版本 5(基于名称,SHA-1)的 DCE 1.1 变体 UUID。 它可以在基于的服务器和基于浏览器的客户端环境中使用。 此实现的要点(与...
friendly_uuid:基于UUID的Rails模型的简短,无状态URL标记
02-18
FriendlyUUID是Rails的宝石,它可以缩短UUID记录的URL。 曾经是什么 twos.dev/users/ 758 d 633 c -61 d 4-4 dfc-ba 52 -b 7 b 498971097 变成 twos.dev/users/ 758 d 即使在引擎盖下,FriendlyUUID也不向您的...
uuid:生成和解析UUID
02-05
uuid:生成和解析UUID
uuid.zip_uuid
09-14
UUID生成器 支持分布式 64位 高性能 毫秒级时间戳 自增序列
koa-uuid:koa uuid中间件
02-03
考伊 koa uuid中间件安装$ npm install koa - uuid组态默认配置const options = { signed : false , maxAge : 1000 * 60 * 60 * 24 * 365 * 10 , httpOnly : true ,}例const uuid = require ( 'koa-uuid' )const Koa...
uuid的使用
weixin_30408165的博客
08-08 764
UUID含义是通用唯一识别码 (Universally Unique Identifier),这是一个软件建构的标准. UUID 的目的,是让分布式系统中的所有元素,都能有唯一的辨识资讯,而不需要透过中央控制端来做辨识资讯的指定。如此一来,每个人都可以建立不与其它人冲突的 UUID。在这样的情况下,就不需考虑数据库建立时的名称重复问题。目前最广泛应用的 UUID,即是...
URL安全的Base64编码,解码
热门推荐
mr_raptor的专栏
03-05 4万+
Base64可以将二进制转码成可见字符方便进行http传输,但是base64转码时会生成“+”,“/”,“=”这些被URL进行转码的特殊字符,导致两方面数据不一致。我们可以在发送前将“+”,“/”,“=”替换成URL不会转码的字符,接收到数据后,再将这些字符替换回去,再进行解码。PHP:    /**     * URL base64解码     * '-' -> '+'     * '_' ->
关于__Federico Milano 的电力系统分析工具箱.zip
04-26
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
mlab-upenn 研究小组的心脏模型模拟.zip
04-26
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
混合图像创建大师matlab代码.zip
最新发布
04-26
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
中序遍历二叉树-java版本
04-26
在Java中,实现二叉树的中序遍历同样可以通过递归来完成。中序遍历的顺序是:首先递归地中序遍历左子树,然后访问根节点,最后递归地中序遍历右子树。 在这段代码中,Node类定义了二叉树的节点,BinaryTree类包含一个指向根节点的指针和inOrder方法,用于递归地进行中序遍历。printInOrder方法调用inOrder方法并打印出遍历的结果。 在Main类中,我们创建了一个示例二叉树,并调用printInOrder方法来输出中序遍历的结果。输出应该是:4 2 5 1 3,这表示中序遍历的顺序是左子树(4),然后是根节点(2),接着是右子树的左子树(5),然后是右子树的根节点(1),最后是右子树的右子树(3)。
.net如何控制uuid生存长度
07-15
UUID 是一个128位长的标识符,它的长度是固定的,无法控制。每个生成的 UUID 都是唯一的,几乎可以被认为是无限的。 如果你希望控制 UUID 的长度,你可以考虑使用其他类型的标识符,例如自增长的整数或自定义的字符...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值