漫畫:鑒權與安全訪問控制的技術血脈

来源:https://www.cnblogs.com/xiexj/archive/2018/07/30/9388982.html
-Advertisement-
Play Games

用歷史觀來看一種技術的演進,稱之為“技術血脈”。 十年前,靜兒做的是傳統軟體的項目,都是企業定製的項目,系統安裝在企業的機器上,通過硬體來做物理隔離。系統的安全訪問控制靠操作系統來保證。 在互聯網大潮中,B/S逐漸流行,對於這類從傳統軟體轉化來的項目,一般採用的是用戶名密碼登陸的鑒權方式。為了對用戶 ...



用歷史觀來看一種技術的演進,稱之為“技術血脈”。

 

    十年前,靜兒做的是傳統軟體的項目,都是企業定製的項目,系統安裝在企業的機器上,通過硬體來做物理隔離。系統的安全訪問控制靠操作系統來保證。

 

在互聯網大潮中,B/S逐漸流行,對於這類從傳統軟體轉化來的項目,一般採用的是用戶名密碼登陸的鑒權方式。為了對用戶身份做認證,一般採用的是郵箱認證。09年的時候,靜兒還在人人網,當時在研究自動化測試。有段時間有個小公司在搞活動,新註冊用戶可以抽獎,中獎率特別高。靜兒就用自動化測試工作批量註冊郵箱和此網站用戶,刷出來好多小禮物。充分驗證了自己的自動化測試工具的實用性。

當時,雖然各個網站還沒有開始使用驗證碼。但是靜兒那時候做過爬蟲,對於爬蟲這類攻擊,很多網站還是採取了一定策略的。最常見的就是對IP做流量控制。比如半小時內不能點擊超過2萬次,超過則自動返回訪問受限制,半小時後自動恢復。如果這件事情反覆發生,被後臺工作人員檢測到,可以加入黑名單。

用戶註冊有一部分是“連攜”的,這是個日語詞,中文應該叫合作吧。就是下麵的“其他方式登錄”。這種實現到現在為止業界也還是採用oauth來實現,靜兒八年前的項目經歷完全可以排上用場。

 

    再後來網站對於用戶註冊開始使用驗證碼了。驗證碼的實現類似於分散式session的實現,都是在服務端保存一個客戶端key對應的value。只是驗證碼的value只是一個字元串。靜兒那時候都是採用分散式緩存作為服務端驗證碼的存儲工具。

    在人人網工作四年之後,靜兒出去面試,朋友給介紹了一個做PaaS的公司,按現在的話說就是雲CRM。當時是在公司樓下一家咖啡館,他們CTO帶著一個兄弟過來,請我喝咖啡,讓我聊聊訪問控制,因為他們當時這塊沒有很好的解決方案。我就說了一下RBAC(基於角色的訪問控制)的思路。

    靜兒去了一家創業公司,因為項目規模小了,公司也沒有統一的基礎設施,許可權認證這些都是自己來實現。本著只採用成熟的技術的原則,對於後臺管理,當時靜兒用的是Spring Security。Spring Security是一個能夠為基於Spring的企業應用系統提供聲明式的安全訪問控制解決方案的安全訪問控制功能解決方案的安全框架。

它支持認證一體化如下認證技術:

HTTP  BASIC authentication headers(一個基於IEFT RFC的標準)

HTTP Digest authentication headers(一個基於IEFT RFC的標準)

HTTP X.509 client certificicate exchange(一個基於IEFT RFC的標準)

LDAP(一個非常常見的跨平臺認證方法)

Form-based authentication(提供簡單用戶介面的需求)

OpenID authentication

Computer Associates Siteminder

JA-SIG Central Authentication Service(CAS,一個開源的單點登錄系統)

Transparent authentication context propagation for Remote Method Invocation and HttpInvoker(一個Spring遠程調用協議)

    兩年後,為了實現7年前定的“要作為技術人員去國外出差”的目標,靜兒入職了樂視。自然,全公司統一獨立部署的SSO(單點登錄)是必不可少的。嚴格來說,靜兒那時候做的限流也是安全訪問控制的一部分。

新美大這邊的鑒權與安全訪問控制就比較多了。SSO鑒權作為一個基礎組件提供客戶端和服務端自然是最基本的。在此基礎上添加了新美大自研的基於角色許可權控制。但是對於一些介面維度的,根據實際情況,會採用一些BA認證。比如根據token來指定配額。對於一些底層服務,內部也肯定會用到TLS做認證。

 

後記

大家可能註意到靜兒的前幾篇文章比較註重自下而上思考,自上而下表達的結構化思維,而本篇是歷史序的縱向思維。

作為技術人員,從各個維度對技術對項目做思考是一種基本意識。武功境界中所謂“人劍合一”的原理也是多練習多思考的結果。而技術人員想達到“人技合一”必然要從各個維度積累沉澱。

 

靜兒,20歲時畢業於東北大學電腦系。在畢業後的第一家公司由於出眾的語言天賦,在1年的時間里從零開始學日語並以超高分通過了國際日語一級考試,擔當兩年日語翻譯的工作。後就職於人人網,轉型做互聯網開發。中國科學院心理學研究生。有近百個技術發明專利,創業公司合伙人。有日本東京,美國矽谷技術支持經驗。目前任美團點評技術專家(歡迎關註靜兒的個人技術公眾號:編程一生),心法文章可參考我的《自動化管理之新人培養》

技術交流可關註我的github:https://github.com/xiexiaojing

關註靜兒公眾號,不定期漫畫技術推送~

 
您的分享是我們最大的動力!

-Advertisement-
Play Games
更多相關文章
  • 最近幾年隨著h5的興起,複雜的h5動畫,甚至是交互動畫類型的產品不斷涌現,尤其在課件產品方面,很多公司都有相關需求,最近很多h5開發工程師想瞭解相關方面的技術。 針對h5,如果是簡單的動畫效果,可以考慮css3來實現,如果是較為複雜的動畫效果,比如有很多特效,動畫時長比較長,那麼就需要h5的動畫引擎 ...
  • 當你想要做成這種佈局效果的時候 紫色框裡面的內容那樣 它是一個列表 li元素是塊級元素 預設大小是父元素ul的寬 並且換行 如果li沒有背景的話那就不用管了 可是問題來了它不但有背景 而且是根據文字自適應的寬高 這就是inline-block類型的功能了 那麼想讓li是inline-block 設置 ...
  • 有的時候,我們會在JS框架中看到這行 (function(window, undefined) {})(window) ,它是做什麼用的,我們來分析下它 首先這就是一個匿名函數,立即執行它 為這麼要這樣寫,有什麼作用 對js進行壓縮的時候 均可以替換成其他簡寫字元,從而減少文件大小,因為他們被視為局 ...
  • webpack4.x css壓縮,optimize-css-assets-webpack-plugin mini-css-extract-plugin ...
  • 1、 JavaScript(弱類型語言):是一種描述性語言,也是一種基於對象(Object)和事件驅動(Event Driven)的,並具有安全性能的腳本語言。 特點:1、主要用來在HTML頁面中添加交互行為。 2、是一種腳本語言,語法和Java類似。 3、一般用於編寫客戶端的腳本。 4、是一種解釋 ...
  • 因為項目有可能用到, 所以學習了一下,做此筆記,圖截自慕課網,侵刪。 一、基本圖形 1、矩形 x,y定義矩形的左上角坐標; width,height定義矩形的長度和寬度; rx,ry定義矩形的圓角半徑長度,這裡註意,如果rx給值了ry沒給值,ry沿用rx的值,反之同理; 2、圓形 cx與cy定義圓心 ...
  • 在移動端使用時間選擇器的時候,選擇了一個時間轉換為時間戳,谷歌瀏覽器以及安卓手機使用 new Dare( 選擇的時間 ).getTime() 都能夠拿到時間戳, 但是在ios手機上會出現出現NAN 查閱資料後發現是因為ios不能解析 2018-7-26 這種格式的時間字元串,只能解析 2018/7/ ...
  • 日常中工作中我並沒有對kafka接觸很多,但瞭解到很多的框架都和kafka有著緊密的關係。比如rockmetmq是參考了kafka的設計,neflix的緩存組件ehcache是用kafka做數據的同步。同時kafka在大數據方面通常和spark,hadoop,storm一起使用,所以我對kafka也 ...
一周排行
    -Advertisement-
    Play Games
  • 移動開發(一):使用.NET MAUI開發第一個安卓APP 對於工作多年的C#程式員來說,近來想嘗試開發一款安卓APP,考慮了很久最終選擇使用.NET MAUI這個微軟官方的框架來嘗試體驗開發安卓APP,畢竟是使用Visual Studio開發工具,使用起來也比較的順手,結合微軟官方的教程進行了安卓 ...
  • 前言 QuestPDF 是一個開源 .NET 庫,用於生成 PDF 文檔。使用了C# Fluent API方式可簡化開發、減少錯誤並提高工作效率。利用它可以輕鬆生成 PDF 報告、發票、導出文件等。 項目介紹 QuestPDF 是一個革命性的開源 .NET 庫,它徹底改變了我們生成 PDF 文檔的方 ...
  • 項目地址 項目後端地址: https://github.com/ZyPLJ/ZYTteeHole 項目前端頁面地址: ZyPLJ/TreeHoleVue (github.com) https://github.com/ZyPLJ/TreeHoleVue 目前項目測試訪問地址: http://tree ...
  • 話不多說,直接開乾 一.下載 1.官方鏈接下載: https://www.microsoft.com/zh-cn/sql-server/sql-server-downloads 2.在下載目錄中找到下麵這個小的安裝包 SQL2022-SSEI-Dev.exe,運行開始下載SQL server; 二. ...
  • 前言 隨著物聯網(IoT)技術的迅猛發展,MQTT(消息隊列遙測傳輸)協議憑藉其輕量級和高效性,已成為眾多物聯網應用的首選通信標準。 MQTTnet 作為一個高性能的 .NET 開源庫,為 .NET 平臺上的 MQTT 客戶端與伺服器開發提供了強大的支持。 本文將全面介紹 MQTTnet 的核心功能 ...
  • Serilog支持多種接收器用於日誌存儲,增強器用於添加屬性,LogContext管理動態屬性,支持多種輸出格式包括純文本、JSON及ExpressionTemplate。還提供了自定義格式化選項,適用於不同需求。 ...
  • 目錄簡介獲取 HTML 文檔解析 HTML 文檔測試參考文章 簡介 動態內容網站使用 JavaScript 腳本動態檢索和渲染數據,爬取信息時需要模擬瀏覽器行為,否則獲取到的源碼基本是空的。 本文使用的爬取步驟如下: 使用 Selenium 獲取渲染後的 HTML 文檔 使用 HtmlAgility ...
  • 1.前言 什麼是熱更新 游戲或者軟體更新時,無需重新下載客戶端進行安裝,而是在應用程式啟動的情況下,在內部進行資源或者代碼更新 Unity目前常用熱更新解決方案 HybridCLR,Xlua,ILRuntime等 Unity目前常用資源管理解決方案 AssetBundles,Addressable, ...
  • 本文章主要是在C# ASP.NET Core Web API框架實現向手機發送驗證碼簡訊功能。這裡我選擇是一個互億無線簡訊驗證碼平臺,其實像阿裡雲,騰訊雲上面也可以。 首先我們先去 互億無線 https://www.ihuyi.com/api/sms.html 去註冊一個賬號 註冊完成賬號後,它會送 ...
  • 通過以下方式可以高效,並保證數據同步的可靠性 1.API設計 使用RESTful設計,確保API端點明確,並使用適當的HTTP方法(如POST用於創建,PUT用於更新)。 設計清晰的請求和響應模型,以確保客戶端能夠理解預期格式。 2.數據驗證 在伺服器端進行嚴格的數據驗證,確保接收到的數據符合預期格 ...