开发日记-凌鲨中微应用的安全性

最新推荐文章于 2024-09-14 10:24:09 发布
最新推荐文章于 2024-09-14 10:24:09 发布
阅读量251 收藏
点赞数
文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_37582237/article/details/131609431
版权

凌鲨在框架上使用了特别注重安全性的tauri框架,里面所有的权限都需要明确给出。

微应用本质上是静态web页面加上注入的额外能力。额外能力通过tauri的ipc注入和访问http服务。为了保证主服务的稳定性,一些能力我们是以外挂可执行文件的方式,通过http提供能力。

微应用所有的额外能力是需要预先配置,目前提供了网络权限,本地文件访问权限和应用相关权限。

安全方案

网络访问控制

网络能力基本是外挂可执行文件提供的http接口。在每个http接口调用的时候都需要访问令牌。访问令牌是在微应用启动的时候注入到windows对象的。这样其他应用访问http接口的时候会因为缺乏访问令牌而被禁止。

应用权限访问

只有在项目中启动的微应用,才会有项目成员,工单,事件权限的访问。在接口实现的rust代码中,我们判断了窗口的标签(label),除了main窗口外,其他窗口访问ipc的时候都要进行访问许可的检查。在启动微应用的时候,我们会指定窗口标签(label),这个标签是无法修改的,保证后续访问不会被冒名顶替。

文件权限访问

对于本地文件的访问,我们限制比较严格,每次访问前都会弹窗对话框让用户确认。

关于凌鲨

作为软件团队的数字化中枢,凌鲨通过连接工具,AI和研发过程中的信息来改进研发团队的效率。

凌鲨提供了沟通、知识库、项目管理、自动化等功能,并且还提供了微应用,方便用户进行功能扩展。

凌鲨是通过开源方式运作的,开源代码地址: https://jihulab.com/linksaas 。你也可以从我们官网( https://www.linksaas.pro )下载我们预编译的版本。

 

凌鲨
关注
74LVC244-规格书-I-CORE(中微爱芯)缓冲器-驱动器-收发器规格书.PDF
01-03
《74LVC244规格书:中微爱芯缓冲器、驱动器与收发器详解》 中微爱芯(Wuxi I-CORE Electronics Co., Ltd.)生产的AiP74LVC244是...通过其多样的功能和适应性,可以广泛应用于工业控制、通信系统、数据处理设备等领域。
20210526-中银国际-中微公司-688012-推动ICP刻蚀销量增长,组建EpiLPCVD开发团队.pdf
05-26
20210526-中银国际-中微公司-688012-推动ICP刻蚀销量增长,组建EpiLPCVD开发团队.pdf
阅读笔记:Elastic Scheduling for Microservice Applications in Clouds-云中微服务应用程序的弹性调度
RoderickLi-努力努力再努力
09-08 1055
原文连接:https://ieeexplore.ieee.org/document/9149819 来源:IEEE Transactions on Parallel and Distributed Systems ( Volume: 32 , Issue: 1 , Jan. 1 2021 ) 一、动机 不同的调度策略将导致对资源的不同需求,从而需要不同的扩展方案。在不结合调度的情况下缩放算法的预测结果与调度的实际资源量之间存在差异。这种差异可能由于资源不足而导致性能下降,或者由于过度供应而导致..
如何解决基于微服务架构应用安全性和可见性问题
A实大大的博客
09-03 746
随着应用迁移到基于微服务的架构,容器和Kubernetes的采用日渐普及。无论是在公有云、私有云还是数据中心,这两项技术的使用率都有强劲的增长。 由于这些应用已在生产环境中得到部署并且实现规模化,传统工具已不再适合Kubernetes。 对于应用交付和安全性在内的所有应用服务,市场亟需特定于Kubernetes的企业级解决方案。A10安全服务网格(Secure Service Mesh)是专门针...
【密评】商用密码应用安全性评估从业人员考核题库(十三)
九芒星的博客
10-26 1980
3001 单项选择题 在GM/T 0082 《可信密码模块保护轮廓》中, ACM_SCP.1(TOE CM范围)要求中,下列不属于CM文档应说明的CM系统应能跟踪的内容是()。 A、TOE实现表示 B、设计文档 ==C、维护记录文档== D、管理员文档 3002 单项选择题 在GM/T 0082 《可信密码模块保护轮廓》中,ADV_FSP.1(非形式化功能规范)中不包含()。 ==A、验证者行为元素== B、开发者行为元素 C、评估者行为元素 D、证据的内容和形式元素 3003
从五个方面入手保障应用安全
云上笛暮
08-14 7570
前言 随着计算机、互联网技术的飞速发展,信息安全已然是一个全民关心的问题,也是各大企业非常重视的问题。企业一般会从多个层次着手保障信息安全,如:物理安全、网络安全、系统安全(主机和操作系统)、应用安全等。 对于应用程序安全,需要在应用架构、代码、运维、管理等多个角度进行安全性评估,在整个应用程序生命周期中,软件工程师们则主要负责身份验证、访问授权、进程间通信安全、代码安全安全的管理与审计这五方面的方案落地。这五个方面中,前三个侧重于技术实现,代码安全、管理与审计则更需要规范的管理和执行,本文将着重对认
云原生环境中微服务架构的安全挑战主要包括哪些?
图幻未来的博客
07-18 477
随着云计算技术的发展,越来越多的企业开始采用云原生环境部署和管理应用程序。微服务架构作为一种轻量级、可扩展的分布式应用架构,逐渐成为主流。然而,微服务架构在带来灵活性和可维护性的同时,也给网络安全带来了新的挑战。本文将围绕云原生环境中微服务架构的安全挑战进行分析,并结合AI技术探讨相应的应对策略。
实时时钟(Real_Time Clock)电路--中微爱芯
lq23721724的博客
09-13 2403
实时时钟芯片是日常生活中应用最广泛的消费类电子产品之一,其提供精确的实时时间或者为电子系统提供精确的时间基准。应用于一切需要微功耗以及准确计时的场合,嵌入式领域:手机、数码相机、MP3\MP4等,电气仪表:电视机、复费率电表、高精度时钟、可编程时间控制器,以及各种需要计时功能的小家电等。 以下为我司现有实时时钟芯片: 型号 名称 特点 兼容产品 CS1380 CS1381
【国产mcu填坑篇】------芯联发(中微
幻蜗的笔记
05-18 7445
需要读的IO第一次读时可能读不到,要第二次才可以,在需要进睡眠的时候注意 单片机计时标记最好使用加,不要用减,否则可能会减不到0,加volatile也不行 仿真时加volatile可以看变量,否则未调用会被优化,这个大多编译器都会有 自带的触摸生成器,有时会把按键自动置1,但重新生成一层就又好了,暂时不清楚原因 ...
血氧仪电路方案开发--PCBA方案
weixin_40509411的博客
07-08 3569
医疗级的家庭用电子产品,血氧仪和血压计应该是比较常见的医疗器械了,无论是血氧仪还是血压计,其实一定意义上,测试反馈的主要是人体器官,心脏、肺的功能是否正常。新冠的产生,国外普遍认为肺功能出现问题,那么血氧仪的血氧饱和度值就能客观反映人的身体特征。因国外医疗主要是家庭医生为主,大多是顾问式的医疗方式,所以医生建议大家自己购买个血氧仪在家里,自行测量自身身体状况,自然血氧仪成了家庭必备的医疗设备。 在疫情的一波一波冲击下,从国内的生产规模来看,血氧仪出口在短短的2年时间里,应该过亿的市场需求是有的。国内前期的
计算机生活中应用视频教程,计算机信息技术教学中微视频的应用
weixin_29256771的博客
06-15 336
摘要:微视频是现在计算机信息技术专业教育中主要运用的授课方式及手段之一,通过在课程中的某一时间段内运用微视频代替传统意义上的理论讲解,不仅能够吸引学生的注意力,调动学生的学习积极性,同时,也能够将学生在技能学习过程中的不足直接展示出来,是提高教师教学水平的重要手段。为此,笔者结合微视频在计算机信息技术中运用的意义,对如何在该课程中合理应用微视频,与其在运用中出现的实际问题和解决办法加以阐述,为进一...
20210823-中信证券-中微公司-688012-投资价值分析报告:半导体设备平台型龙头,技术全球领先.pdf
08-24
刻蚀设备是中微公司的核心业务之一,主要分为CCP和ICP两种技术,覆盖65nm到5nm的各种制程,广泛应用于存储器和逻辑芯片的制造。全球IC干法刻蚀设备市场约140亿美元,预计2020年至2024年的年复合增长率将达到5.8%。...
网络安全(黑客技术)2024年三个月自学手册
最新发布
2401_85026116的博客
09-14 2203
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
【网络安全】漏洞挖掘
anquan2233的博客
08-29 1924
在springframeworl/expression/spel/stand/InternalSpelExpressionParser/doParseExpression()方法中、会在tokenizer.process()中 对token进行 源码与字节码的判断操作、继续向下。会进入到springframework/cloud/function/context/config/RoutingFunction/functionFromExpression()方法。Payload 的构造可以参考官方测试用例。
【网络安全】-文件上传漏洞实战-upload-labs(0~16)
weixin_65311462的博客
09-09 1360
准备:一句话木马:
【网络安全】-文件上传漏洞
weixin_65311462的博客
09-10 881
文件上传漏洞指hacker能利用网站能让用户上传文件的功能,在上传过程中上传木马,直接连接或配合文件包含漏洞获取webshell,从而导致用户权限丢失,隐私泄露。成功getshell后hacker还可以长期控制受影响的网站或服务器,进行持续性的攻击和破坏,甚至会将受控制的服务器作为攻击其他目标的跳板,利用该服务器的资源和网络带宽发起更广泛的网络攻击。
Ansoft Designer中微带低通滤波器设计-高低阻抗线应用
"Topology"选项则允许你选择滤波器的布局方式,对于低通滤波器,高低阻抗线结构是一个常见选择,因为它能够提供良好的频率选择性。在"Approximation"中,车比雪夫多项式(Chebyshev)是一种常用的逼近方法,它能平衡...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

凌鲨

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值