V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
zhangH258
V2EX  ›  程序员

权限设计问题

  •  
  •   zhangH258 · 2019-04-29 10:02:47 +08:00 · 4175 次点击
    这是一个创建于 2060 天前的主题,其中的信息可能已经有所发展或是发生改变。

    总部打算开发一套系统,为了保密所以会限制合作伙伴的使用,比如禁止给其他第三方的用。 如何解决? 想到了限制 ip,但感觉不灵活,毕竟可以解释要外出用笔记本。 还有其他比较大的杀招吗

    29 条回复    2019-04-29 18:47:57 +08:00
    yhyh
        1
    yhyh  
       2019-04-29 10:07:46 +08:00
    token ?
    heww
        2
    heww  
       2019-04-29 10:10:03 +08:00 via iPhone
    使用前,人脸识别来一波。
    smeraldo
        3
    smeraldo  
       2019-04-29 10:10:59 +08:00
    证书
    annielong
        4
    annielong  
       2019-04-29 10:14:10 +08:00
    想灵活现今还真要人脸一波,其它证书 uKey 等都可以外接,
    DefineJ
        5
    DefineJ  
       2019-04-29 10:17:01 +08:00
    不用账号吗
    ParallelMao
        6
    ParallelMao  
       2019-04-29 10:18:14 +08:00
    vpn
    x9sec
        7
    x9sec  
       2019-04-29 10:19:39 +08:00
    401 Auth Basic
    marsgt
        8
    marsgt  
       2019-04-29 10:22:14 +08:00
    没听太懂。。。是要弄 RBAC 么?
    zjsxwc
        9
    zjsxwc  
       2019-04-29 10:25:37 +08:00
    做不到,我网银都可以借给别人用,你能咋滴
    Fazauw
        10
    Fazauw  
       2019-04-29 10:27:22 +08:00 via Android
    加密狗?
    no1xsyzy
        11
    no1xsyzy  
       2019-04-29 10:29:05 +08:00
    “禁止给其他第三方的用” 太宽泛了
    假设合作伙伴 B,第三方 C
    你要做到:允许 B 访问,而不允许 C 访问,即使 B 做出再大的帮助。
    只看原题可能会开始想办法,但其实应该先想边界。
    举个几乎不能检测的例子:如果是 C 电话指挥 B 操作并把显示的内容报过去呢?
    dovme
        12
    dovme  
       2019-04-29 10:38:32 +08:00
    不太懂,给他一个账号?用这个账号登录就是他本人啊。
    reus
        13
    reus  
       2019-04-29 11:15:37 +08:00
    你们连个账户系统都没有?
    zwl2012
        14
    zwl2012  
       2019-04-29 11:16:24 +08:00 via iPhone
    生物特征认证
    reus
        15
    reus  
       2019-04-29 11:17:06 +08:00
    或者按使用分钟收费,反正给谁用都一样收费。
    sonyxperia
        16
    sonyxperia  
       2019-04-29 11:22:28 +08:00
    license
    index90
        17
    index90  
       2019-04-29 11:40:16 +08:00
    如果你只是想限制谁能访问谁不能访问,这是访问授权问题。如果你想控制已授权用户的行为,那是权限控制问题。

    从 LZ 的描述,是前者?那就用黑白名单的方式解决了。iptable 不方便的话,把系统部署到一个子网里,访问者通过 VPN 到子网然后使用,通过分发密钥来授权用户。如果系统可以自己开发的话,搞个登录程序就可以了,有账户密码的人才能访问。有多难?
    reus
        18
    reus  
       2019-04-29 11:44:50 +08:00
    合同里写明不给第三方用,违反合同就赔偿,金额定高点。然后时不时找个人去钓鱼。至少让他们知道给三方用有风险,或者可以主动规制。
    bumz
        19
    bumz  
       2019-04-29 12:19:05 +08:00
    除非用摄像头,时刻监控为本人操作
    然后白名单允许操作系统的人
    Proxy233
        20
    Proxy233  
       2019-04-29 12:30:53 +08:00 via Android
    密码+手机验证码登录,90 天强制修改密码,必须使用 vpn 进入网络
    wizardoz
        21
    wizardoz  
       2019-04-29 12:35:49 +08:00
    用户认证!
    权限只应跟用户角色有关,不应该和访问方式有关。
    iceheart
        22
    iceheart  
       2019-04-29 12:36:00 +08:00 via Android
    就是授权管理吧?
    server 端控制喽,提取安装机的 id 信息 server 启动时验证
    wizardoz
        23
    wizardoz  
       2019-04-29 12:37:18 +08:00
    另外,保存好访问日志。谁把自己的帐号借出去谁对泄密负责!
    lyy16384
        24
    lyy16384  
       2019-04-29 12:41:36 +08:00
    软件总不能识别用的人是谁吧,所以最多就是和机器绑定,比如加密狗、绑定主机序列号这些
    wellpoon
        25
    wellpoon  
       2019-04-29 13:06:45 +08:00
    帐号权限+VPN,不行么?
    shuax
        26
    shuax  
       2019-04-29 13:17:51 +08:00
    IP 呗,外出 VPN
    lovedebug
        27
    lovedebug  
       2019-04-29 13:18:56 +08:00 via Android
    证书双向认证
    luozic
        28
    luozic  
       2019-04-29 13:28:46 +08:00 via iPhone
    绑定 mac+vpn+账户认证
    akira
        29
    akira  
       2019-04-29 18:47:57 +08:00
    现在人脸识别很成熟的啦 一次成本最多几毛钱应该就有了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5290 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 07:55 · PVG 15:55 · LAX 23:55 · JFK 02:55
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.