摘要:
面向对象开发一个最重要的思想就是对真实世界进行模拟。
然而﹐在大量的使用面向对象语言开发的系统中﹐您却很难看到这种模拟﹐而依然是些以数据库为中心的增删改查动作﹐很少能看到”真实的世界”的身影。
出现这种情况﹐很大程度上都是受数据库为中心的影响 阅读全文
2007年9月25日 #
2007年2月1日 #
摘要:
要判断用户是否有被请求的资源的权限﹐首先就要知道用户请求的是什么资源。所以我将资源进行抽象﹐并且称它为URL。URL预设有3种形式﹐分别是﹕
1. Request.Path,这是最基本的形式。如:a.aspx , b/b.aspx , ajax/c.ashx
2. 带QueryString的Request.Path﹐这种形式增大了权限管控组件的适应性和灵活性(可参考上一篇的例子)。如 d.aspx?kind=1 , c/e.aspx?ismanage=Y
3. 只到某个目录的Request.Path﹐这种形式方便了某些权限简单的系统使用。如 f/ , g/h/ 阅读全文
2006年12月29日 #
摘要:
在看了自适应软件......的” 我今天在做我們一個新的系統功能權限的時候,有一點新的想法,不知道是不是班門弄斧,歡迎扔扔雞蛋! ”后﹐发现大家对于系统权限还是很关注﹐因此在继续我的安全模块设计之前﹐再对以系统功能作为权限管控的方法进而实现系统安全的完全脱耦方案进行说明。
我以一个实际的小型订单管理系统为例来实现这种权限设计方案﹐也欢迎大家能提出自己的权限设计方案来对比﹕ 阅读全文
2006年12月27日 #
摘要:
应用程序的安全管控包括管控的时机和方法两个方面﹐即在哪里或什么时候进行管控﹐和使用什么依据进行权限管控。
本篇主要討論安全管控的本質特點 阅读全文
2006年12月24日 #
摘要:
在关于web应用程序安全的思考(一)的最后,我给出了一个权限管控类的大致框架。
它有以下几个特点:
1.它是一个HttpModule
2.它捕获其中的AuthorizeRequest事件
3.它在这个事件中进行提取用户ID(认证)和判断用户是否有权(授权),以及对于没有权限的处理动作(拒绝)三个部分。
我们的安全管控模组的设计就从第3点的这三个部分出发... 阅读全文
2006年12月23日 #
摘要:
众所周知﹐http协议是开放的﹐因此谁都能向网络上公开的web服务器发送request请求﹐要求一个URL(Uniform Resource Locator 统一资源定位符)。
所谓request﹐不过是符合http协议(即遵守http请求语法)的一大段字符串而已 阅读全文
2006年12月22日 #
摘要:
曾经在一家公司短暂的几天工作中有过这样的经历。上班的第一天﹐同组做web的一位同事帮我开了一个账号﹐要我上公司的管理系统看一下公司的规章制度。 阅读全文
2006年12月8日 #
摘要:
.net垃圾收集器在内存回收时做了什么﹐我们要怎么来配合…
本篇帮您解答这一问题﹐并形象地理解.net的内存管理机制
阅读全文
2006年8月23日 #
摘要:
非常好的一本书,让我一个完全不懂虚拟机为何物的居然轻松了解虚拟机的设计和实现方式。作者使用相当幽默的语言讲述,读起来非常轻松推荐看一眼各位自己下載 1﹕PDG中文版(2部分﹐下載后解壓放在一個文件夾內) http://www.cnblogs.com/Files/tsoukw/vm1.rar http://www.cnblogs.com/Files/tsoukw/vm2.rar 2:E文版(chm)... 阅读全文
2006年7月13日 #
摘要:
上篇blog讲了一下unicode等编码的问题﹐不过并没有涉及程序﹐所以这次就用.net来证实一下上次的这些东东。
阅读全文