- 综合排序
- 最热优先
- 最新优先
- 来自专栏运维经验分享
MongoDB 权限认证
MongoDB已经使用很长一段时间了,基于MongoDB的数据存储也一直没有使用到权限访问(MongoDB默认设置为无权限访问限制),因为考虑到数据安全的原因特地花了一点时间研究了一下,网上搜出来的解决方法大都是 和其它数据库一样,权限的管理都差不多一样。mongodb存储所有的用户信息在admin 数据库的集合system.users中,保存用户名、密码和数据库信息。 mongodb默认不启用授权认证,只要能连接到该服务器,就可连接到mongod。若要启用安全认证,需要更改配置文件参数auth 1、首先,不使用--auth参数启动MongoDB ? 然后重启mongo,启用admin数据库, 显示所有数据库 : show dbs, 发现已经没有权限了 ? 很遗憾没有权限,admin虽然是超级管理员,但是对具体的数据库,还是需要有对应的用户,用户是和数据库走的,因此还需要建立ta数据库的用户 建立针对ta数据库的用户 db.createUser({
90810发布于 2019-03-14 - 来自专栏码字搬砖
kafka权限认证
可喜的是kafka0.9开始,已经支持权限控制了。网上中文资料又少,特此基于kafka0.9,记录kafaka的权限控制 ( flume需要1.7及其以上才支持kafka的SSL认证)。 下面各位看官跟着小二一起开始kafak权限认证之旅吧!嘎嘎嘎! 介绍: kafka权限控制整体可以分为三种类型: 1.基于SSL(CDH 5.8不支持) 2.基于Kerberos(此认证一般基于CDH,本文不与讨论) 3.基于acl的 (CDH5.8 * blog address :http://blog.csdn.net/jsjsjs1789 * * 生产者可以保证权限认证 * SSL is supported only for the * blog address :http://blog.csdn.net/jsjsjs1789 * 生产者可以保证权限认证 */ public class ProducerZbdba {
2.9K30发布于 2018-10-24 - 来自专栏架构进阶
权限与认证:JWT
https://mp.weixin.qq.com/s/tv894TR7sKpfTS3LUTbRSw 公众号:程序员架构进阶 一 背景 最近在做的一个项目中,需要自己开发权限与角色功能,所以就再次调研了一下认证和授权框架及方案 为此,就有了基于token的认证和session认证。 2.3 基于session的认证 Http协议是一种无状态的协议,而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证,那么下一次请求时,用户还要再一次进行用户认证才行,因为根据http 2.4 session的认证方式问题 不过session的认证方式也存在很多问题: 1)session保存在内存中,当认证的用户数量越来越多时,也会给服务器带来更大的开销; 2)同样由于session 四 JWT防止CSRF 2.4章节中说过,session认证这种基于cookie的方式可能会受到CSRF攻击。
1.9K00发布于 2021-06-03 - 来自专栏3分钟云计算
权限认证之ServiceAccount
权限管理是Kubernetes和OpenShift的核心功能之一。 Kubenetes本身提供了一系列的安全机制,比如认证(Authentication)、授权(Authorization)、准入控制(Admission Control)认证(Authentication 注:在Kubernetes/OpenShift云计算系统中,所有的用户(自然人用户,程序用户)都需要和API Server进行交互,只有认证、授权、准入控制通过后,这些用户才能使用相应的资源(API)。 先来查看下它们被赋予的权限: $ oc get rolebinding NAME ROLE AGE admin system:image-pullers ClusterRole/system:image-puller 15m 可以看到,SA builder 被赋予了system:image-builder 的权限
48210编辑于 2022-06-13 - 来自专栏XBD
Pulsar开启权限认证
eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJwdWxzYXItdXNlciJ9.pQObSlvRguNjOdHy-Vzrfx5DY8iacqq4Y9HP_gbXVYU 给命名空间添加认证权限
1.1K10编辑于 2022-10-27 - 来自专栏架构进阶
权限与认证:JWT
一 背景 最近在做的一个项目中,需要自己开发权限与角色功能,所以就再次调研了一下认证和授权框架及方案,JWT 也是其中之一。因此做本篇整理。 为此,就有了基于 token 的认证和 session 认证。 2.3 基于 session 的认证 Http 协议是一种无状态的协议,而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证,那么下一次请求时,用户还要再一次进行用户认证才行,因为根据 http 2.4 session 的认证方式问题 不过 session 的认证方式也存在很多问题: 1)session 保存在内存中,当认证的用户数量越来越多时,也会给服务器带来更大的开销; 2)同样由于 session 四 JWT 防止 CSRF 2.4 章节中说过,session 认证这种基于 cookie 的方式可能会受到 CSRF 攻击。
80430发布于 2021-07-05 - 来自专栏网络安全攻防
Alibaba Nacos权限认证绕过
影响范围 Nacos <= 2.0.0-ALPHA.1 漏洞类型 权限认证绕过 利用条件 影响范围应用 漏洞概述 2020年12月29日,Nacos官方在github发布的issue中披露Alibaba
2.2K10发布于 2021-07-21 - 来自专栏Rgc
redis权限认证及登录
找到配置文件 redis.conf 找到 requirepass 字段 去掉注释,改为 requirepass yourpassword 重启redis: service redis restart 进入redis redis-cli -h 127.0.0.1 -p 6379 -a myPassword 如果嫌每次进入redis都要输入如上 这么长的命令,可以 加入到 alias命令中,具体方法查询我的另一篇文章: https://www.cnblogs.com/rgcLOVEyaya/p/RGC
2K10发布于 2018-10-11 - 来自专栏Hammer随笔
DRF-认证权限频率
目录 DRF-认证权限频率 认证 登录接口 认证 权限 作用 使用 频率 作用 使用 认证权限频率+五个接口 模型 视图 序列化器 认证权限频率类 配置文件 路由 DRF-认证权限频率 前后端混合开发 (request) # 权限 self.check_throttles(request) # 频率 认证 需求 我们通过登录接口,来模拟认证登录,登录成功返回json字符串,并且携带随机字符串 ,就比如登录视图认证登录,那么就死循环了,不认证不能登录,就相当于做核酸需要核酸单··· 权限 和认证一样,都是写一个类去继承,写权限继承BasePermission,重写has_permission 方法,判断如果有权限,返回True,如果没有权限,返回False 然后局部使用或者全局使用,或局部禁用 作用 权限控制可以限制用户对于视图的访问和对于具体数据对象的访问 认证通过, 可以进行下一步验证 ,返回True,没有权限返回False # 权限类,在认证类之后,request.user有了当前登录用户 user_type = request.user.user_type
85410编辑于 2022-05-09 - 来自专栏Java实战博客
SSE 权限认证、部署篇
这是NG必须对此接口单独设置处理(主要是为了不影响其他业务接口) 2、认证问题,接口开启拦截器后,默认的SSE请求是不会携带认证信息的。 经过GPT4的帮助下:SSE只支持在URL参数中携带认证信息,(前端默认是)不支持 reques Header 放置内容!所以这是SSE在真正应用时的缺点!
83410编辑于 2024-01-22 - 来自专栏山山仙人的专栏
drf之认证、权限、频率
,drf会首先对请求进行认证操作,当其认证通过时之后才会进行权限认证。 同认证类相似,权限类也有全局使用,局部使用和局部禁用。 这几个权限类依次是 IsAdminUser 校验Django自带用户表中的is_staff字段,判断认证用户是否是管理员(注意:其判断的不是is_superuser字段,而是is_staff,即该用户是职员状态是就可以通过权限认证 IsAuthenticated 所有通过认证的请求都可以通过权限验证,都会返回True。 AllowAny 所有请求都可以通过权限校验,当你没有配置权限类的时候就会默认使用AllowAny 。 权限的校验依靠于认证类返回的结果,所以我们使用时必须要搭配相应的认证类使用。
1.2K41发布于 2020-07-28 SpringBoot集成Shiro权限+Jwt认证
static Boolean verify(String token){ return JWTUtil.verify(token, JwtUtils.KEY); }}JwtToken 认证 dto类typescript 代码解读复制代码@Datapublic class JwtToken implements AuthenticationToken { /** JWT 认证串 */ return jwt; } @Override public Object getCredentials() { return jwt; }}JwtFilter 权限认证过滤器 String jwt = principalCollection.getPrimaryPrincipal().toString(); // 这里一般就从redis中拿用户的权限信息 simpleAuthorizationInfo.addRole("admin"); simpleAuthorizationInfo.addRole("user"); // 设置权限
41510编辑于 2025-01-15- 来自专栏LuckySec网络安全
Alibaba Nacos 权限认证绕过漏洞
0x01 漏洞描述 - Alibaba Nacos 权限认证绕过 - Alibaba Nacos是阿里巴巴推出来的一个新开源项目,是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。 该漏洞发生在Nacos在进行认证授权操作时,会判断请求的user-agent是否为”Nacos-Server”,如果是的话则不进行任何认证。开发者原意是用来处理一些服务端对服务端的请求。
1.9K21编辑于 2022-11-08 - 来自专栏iOS底层原理
Go语言之-Middleware权限认证
opt.TokenExtractOpts) == 0 if opt.HeaderName == "" if opt.Timeout == 0 return opt } 分别对Option结构体初始化 权限控制中间件 token) permit := o.permission(identity,c.Request.URL.Path,c.Request.Method) c.Next() } 初始化权限 我怎么知道要什么name") auth.ExtractFromAuthHeader("来自大洋彼岸的头权限") } }) func Auth() gin.HandlerFunc{
89720发布于 2021-03-11 - 来自专栏yuezhimi
kubernetes-身份与权限认证(十四)
三种客户端身份认证: •HTTPS 证书认证:基于CA证书签名的数字证书认证 •HTTP Token认证:通过一个Token来识别用户 •HTTP Base认证:用户名+密码的方式认证 角色 •Role:授权特定命名空间的访问权限 •ClusterRole:授权所有命名空间的访问权限 角色绑定 •RoleBinding:将角色绑定到主体(即subject) •ClusterRoleBinding :将集群角色绑定到主体 主体(subject) •User:用户 •Group:用户组 •ServiceAccount:服务账号 使用RBAC授权对pod读取权限示例 创建角色 [root@ jane-kubeconfig kubectl config use-context default --kubeconfig=jane-kubeconfig 测试仅对developent命名空间查看pod权限 让当前名称空间中所有的pod在连接apiserver时可以使用的预制认证信息,从而保证pod之间的通信。
1K20发布于 2020-09-30 - 来自专栏猿天地
Spring Cloud Eureka 增加权限认证
加用户认证即可 通过spring-security来开始用户认证 <dependency> <groupId>org.springframework.boot</groupId> <artifactId >spring-boot-starter-security</artifactId> </dependency> 然后在application.properties中加上认证的配置信息 security.basic.enabled =true #开启认证 security.user.name=goojia #用户名 security.user.password=goojia123456 #密码 重新启动注册中心,访问 http:/ 注意事项 注册中心开启认证后,项目中的注册中心地址的配置也需要改变,需要加上认证的用户名和密码 eureka.client.serviceUrl.defaultZone= http://用户名:密码
1.1K80发布于 2018-04-03 - 来自专栏网络安全615
漏洞复现 - - - Alibaba Nacos权限认证绕过
2.Alibaba Nacos漏洞概述 nacos的认证绕过安全漏洞,在nacos开启了鉴权后,依然能绕过鉴权访问任何http接口。 Dnacos.core.auth.enabled=true即可开启鉴权功能 (参考:https://nacos.io/en-us/docs/auth.html) 但在开启鉴权后,我发现代码中,任然可以在某种情况下绕过认证
3.2K41编辑于 2022-11-19 - 来自专栏青灯古酒
红帽认证RedHat-RHCSA 权限管理
文件/目录的权限和归属 访问权限 读取:允许查看文件内容、显示目录列表 写入:允许修改文件内容,允许在目录中新建、移动、删除文件或子目录 可执行:允许运行程序、切换目录 归属(所有权) 属主:拥有改文件或目录的用户账号 属组:拥有该文件或目录的组账号,组中用户 查看文件/目录的权限和归属 文件类型 | 文件所有者 | 文件所属组 | 其他用户| shell chmod 修改文件或目录的权限 chmod mode 文件:chmod u+x file ; file ; file ; chmod a=wx file Permission Denied:无权限 rw-- chown 更改归属权 chown 用户 文件 ;更改文件属主 chown : 组 文件:更改文件属组 chown 用户:组 文件 root 设置文件/目录的权限
35920编辑于 2023-10-16 - 来自专栏架构进阶
权限与认证:HTTP 状态码返回
系列文章: 权限与认证:JWT 权限与认证:JWT 实践 权限与认证:基于 JWT 的授权实现 一 概述 权限与认证:基于 JWT 的授权实现中提到了登录授权时的token信息拦截和解析,并在验证通过后进行用户信息相关的参数注入 2.2 403-Forbidden 原因:禁止访问,请求是合法的,但是却因为服务器配置规则而拒绝响应客户端请求,此类问题一般为服务器或服务权限配置不当导致。 解决:确保主页文件存在,如index.php或index.html;确保web服务器运行用户和站点的目录权限一致,比如你的nginx运行用户为www,你需要确保你的站点目录的所有者为www。
3.8K10发布于 2021-07-29 - 来自专栏Timeline Sec
Alibaba Nacos权限认证绕过漏洞复现
正因为这样,所以当我们UA恶意改为Nacos-Server的时候,就会被误以为是服务间的通信,因此在白名单当中,绕过的认证。
14.6K40发布于 2021-02-03
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号