• 庄风
    2022-01-06
    如果是属性或者功能为核心的访问控制编码模型,还要有专门的模块来判断用户是否有某个功能的访问权限。在能连接服务器的情况下,服务器可以做这种判断。但如果是在APP上,而且有可能离线的使用环境中。Role-Based反而比较方便一些。

    作者回复: 嗯,其实这种说法是有道理的,核心还是重客户端or轻客户端实现,视场景化不同一定有更适合的方案,老师也学到啦,哈哈哈哈~

    共 2 条评论
    2
  • Geek_1a5758
    2021-12-22
    昊天老师的知识点讲的还是比较全面的,但是由于这次是文稿的方式,有些知识点并不能让阅读者在头脑中匹配一个有效的业务场景,比如那个Nginx配置的业务场景,至少会有一部分人和我一样没接触过吧。 这种对业务场景的理解的缺乏,也就造成了阅读者无法有效理解该场景所存在的危害和攻击可能。

    作者回复: 讲的很有道理!老师是第一次写专栏,有点生疏(#^.^#) 后面就熟练了,不过文章字数膨胀的有点厉害,一起磨合哦~

    
    1
  • ifelse
    2023-03-03 来自浙江
    cookie比较容易被截获
    
    1
  • Geek_0ea723
    2022-05-09
    JWT 使用那个工具进行分析呢
    共 1 条评论
    1
  • 南瓜不胡闹
    2022-09-28 来自上海
    未登录用户可以查看到需要登录用户访问的资源也算吧
    
    