【茶余饭后】面试:认证/授权/鉴权/权限控制/越权(水平/垂直)

最新推荐文章于 2023-06-02 15:17:57 发布
最新推荐文章于 2023-06-02 15:17:57 发布
阅读量1.4k 收藏 4
点赞数 2
分类专栏: 面试小结 文章标签: java 鉴权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_33602978/article/details/105388409
版权

稍微了解下这几个概念,以备面试时使用:

认证/授权/鉴权/权限控制/越权(水平/垂直)
1、认证就是识别身份的过程,登陆的过程
2、授权就是分配操作权限,授予权限的过程
3、鉴权就是获取认证信息,校验登陆并获取信息
4、权限控制就是访问控制,校验权限的过程
5、水平越权就是跨用户数据访问,比如用A钥匙开B锁
6、垂直越权就是该用户下权限控制漏洞,比如查询权限可以转账

鉴权有几种:

1.HTTP Basic Authentication:用的比较少,一般用在内网系统。

2.session-cookie:一般用在web系统上

3.Token:适用于app鉴权,微信开发平台access token也是差不多这种思路。

4.OAuth:这个是趋势吧,用于接入微信、QQ等第三方平台登录,降低用户使用门槛。

上天派来的帅哥
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
权限漏洞:水平权限漏洞、垂直权限漏洞
aabbyyz的博客
11-02 1499
分享一下我老师大神的人工智能教程!零基础,通俗易懂!http://blog.csdn.net/jiangjunshow也欢迎大家转载本篇文章。分享知识,造福人民,实现我们中华民族伟大复兴!                水平权限漏洞是指Web
前后端常见的几种鉴权方式(小结)
10-16
主要介绍了前后端常见的几种鉴权方式,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
安全测试实践,万家APP越权逻辑漏洞挖掘 —— 京东云技术团队
最新发布
06-02 282
逻辑漏洞会导致业务面临着巨大的经济损失隐患与敏感数据泄露的风险,本文从安全测试的角度,以越权逻辑漏洞为例,介绍逻辑漏洞的挖掘方法和实践过程。一、什么是越权逻辑漏洞定义: 指由于系统的权限控制逻辑不够严谨,使得系统用户可以访问或操作未授权的数据和功能。包括水平越权垂直越权
接口安全测试常用的测试点
qq_37772593的博客
04-01 535
1.失效的对象级别授权2.失效的用户身份验证3.过度的数据暴露4.资源缺乏和速率限制5.失效的功能级授权5.批量分配7.安全配置错误8.注入9.资产管理不当10.日志和监视不足**
前后端常见的几种鉴权方式
热门推荐
wang839305939的博客
01-03 11万+
常见的授权四种授权方式HTTP Basic Authentication,session-cookie,token(jwt),OAuth(开放授权)
【安全漏洞】水平权限漏洞和垂直权限漏洞
qq_43783527的博客
12-26 1556
权限校验非常重要。如果不对水平垂直权限做校验,就会发生泄漏用户数据的事故,造成P0故障。
垂直权限漏洞与水平权限漏洞
afdasfggasdf的博客
01-08 1466
一、水平权限漏洞 简单举例:假设A可以更改1 2 3三条数据 而B可以更改 2 3条数据。 那么我们一般会怎么做呢,会让用户A查询到123条数据,而用户B查询到23条数据 但是一般情况下,我们是对接口做的做的权限验证 此时B权限会拿到23条数据,那么B提交修改的时候只需要将修改的id更改成1的id即可(很多情况下我们会使用主键自增长的方式),所以很容易出现问题。 修复方案0: 先看一...
java鉴权_就很棒!这样的java微服务下的用户鉴权方案,很值得一看
weixin_39562185的博客
12-02 266
Java下常用的安全框架主要有Spring Security和shiro,都可提供非常强大的功能,但学习成本较高。在微服务下鉴权多多少少都会对服务有一定的入侵性。 为了降低依赖,减少入侵,让鉴权功能相对应用服务透明,我们采用网关拦截资源请求的方式进行鉴权。一、整体架构用户鉴权模块位于API GateWay服务中,所有的API资源请求都需要从此通过。做身份认证,通过则缓存用户权限数据,不通过返回40...
逻辑越权——垂直水平越权
weixin_43916678的博客
04-30 4021
水平越权:通过更换的某个ID之类的身份标识,从而使A账号获取(修改、删除等)B账号数据。 垂直越权:使用低权限身份的账号,发送高权限账号才能有的请求,获得其高权限的操作。 未授权访问:通过删除请求中认证信息后重放该请求,依旧可以访问或者完成操作。 垂直越权利用:添加用户 前提条件:获取添加用户的数据包 普通用户前端有操作页面可以抓取数据包 通过网站源码本地搭建自己去模拟抓取 盲猜 原理: 前端安全造成:界面 判断用户等级后,代码界面部分进行可选显示。或只是判断是否登录,并没有验证级别,所以存在越权问题
网络安全:水平越权垂直越权及其防范措施
分享前端开发工程师的一些日常生活、前端知识点、职业发展、对一些问题的看法、感悟等等
06-09 3683
防范措施 前后端同时对用户输入信息进行校验,双重验证机制 调用功能前验证用户是否有权限调用相关功能 执行关键操作前必须验证用户身份,验证用户是否具备操作数据的权限 直接对象引用的加密资源ID,防止攻击者枚举ID,敏感数据特殊化处理 永远不要相信来自用户的输入,对于可控参数进行严格的检查与过滤 实例 水平越权: 一般存在的问题是:用户id这些信息从客户端获取,交易id的增删改查不校验所属用户,这些都是些安全漏洞。 通常的解决办法是:用户信息从服务器session中获取,交易id的增删改查校验所属用户。 .
嵌入式系统/ARM技术中的Intel展示“V8”八核系统针对AMD“4×4”
10-21
这也成为不少业界人士茶余饭后的谈论焦点。  AMD的Quad FX是把双核心处理器Opteron从服务器挪到了桌面,Intel的“V8”也走了同样的路线,只是“变本加厉”升级到了双四核心Clovertown Xeon 5300。CES展台上的“V8”...
leetcode超时用例数-interview:面试
06-30
技术方向校招求职者、初学者的基础知识总结,包括语言、程序库、数据结构、算法、系统、网络、链接装载库等知识及面试经验、招聘、内推等信息。 :light_bulb: 侧边目录支持方式:、() :page_facing_up: 保存为 PDF...
leetcode答案-Dalao:某群大佬茶余饭后的消遣
06-30
leetcode 答案 每日一题(也称大佬带我装逼带我飞) 1. 这家前后端关系肯定好不到哪里去 出题人 B大 这段php代码 可能输出一个 JSON 也可能输出空 const foo = { bar: <?php> ...Chobits:这样写代
leetcode超时用例数--:C-C++
06-30
技术方向校招求职者、初学者的基础知识总结,包括语言、程序库、数据结构、算法、系统、网络、链接装载库等知识及面试经验、招聘、内推等信息。 :light_bulb: 侧边目录支持方式:、() :page_facing_up: 保存为 PDF...
茶余饭后聊聊Vue3.0响应式数据那些事儿
10-16
主要介绍了茶余饭后聊聊Vue3.0响应式数据那些事儿,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
2023最新修复权限漏洞文案:水平权限漏洞、垂直权限漏洞
jennycisp的博客
05-17 235
1、最正规的方案:把权限控制转移到数据接口层中,避免出现select/update/delete ... where addressID=#addressID#的SQL语句,使用select/update/delete... where addressID=#addressID# and ownerId=#userId#来代替,要求web层在调用数据接口层的接口时额外提供userid,而这个userid在web层看来通常只能通过seesion来取到,以防用户造假。只需要对url资源进行权限验证即可。
史上最强的权限系统设计攻略(上)、基础概念、RBAC以及ABAC模型
HATAO999999的博客
03-23 1830
之前jvm写到ZGC了,文章被搞没了,很伤心,jvm先暂停一段时间,后边会续上,先写一下权限系统设计。 本文分为上下两篇,上篇讲一些权限系统设计领域的一些基本概念,以及基本模型的使用,下篇讲我们京东北极星商业操作系统在复杂权限管控的场景上面的一些探索和实践,依然保持我本人写文章废话不多说的风格,我们直接开始。 一、基础概念 1、越权访问 权限系统设计的目的是为了将系统使用者对系统的操作约束在一个合法的范围内,系统的使用者不一定是人,也可能是另外一个系统,如果操作不在合法范围内,就会发生越权访问行为,越权访问
越权类漏洞攻守之道
坏蛋呆呆的博客
05-12 2107
1、 什么是越权类漏洞 越权类漏洞是指攻击者利用程序漏洞获取或操作超越用户本身权限所属的资源。 2、 越权漏洞的类型 水平越权:是指用户操作或查询服务端数据时,服务端未校验数据是否归属于请求用户。使得攻击者可以操作其他用户数据。简单来讲,就是同级别权限的用户访问到其他用户的资源。 垂直越权垂直越权又称为权限提升,主要是由于系统权限控制不严谨,导致攻击者可以直接访问到管理界面或者绕过权限验证,达到提权的目的。简单来讲,就是低级别权限的用户访问高级别权限...
常见的前后端鉴权方式
消极的人永远是对的,积极的人选择勇往直前
10-25 448
Session-Cookie Token 验证(包括 JWT,SSO) OAuth2.0(开放授权) 常见的加密算法 哈希算法 (Hash Algorithm) 又称散列算法、散列函数、哈希函数,是一种从任何一种数据中创建小的数字 “指纹” 的方法。哈希算法将数据重新打乱混合,重新创建一个哈希值。 哈希算法主要用来保障数据真实性 (即完整性),即发信人将原始消息和哈希值一起发送,收信人通过相同的哈希函数来校验原始数据是否真实。 哈希算法通常有以下几个..
吊打面试官系列之:什么是 认证鉴权授权权限控制,这一篇必须安排的明明白白。
商务合作 | 面试培训 | 职场规划 ==>主页扫码
08-23 5928
网友:看过这篇,我终于知道认证鉴权授权权限控制的关系了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值