找回密码
 立即注册

QQ登录

只需一步,快速开始

黑色幽默 悬赏达人认证 活字格认证

高级会员

23

主题

577

帖子

1428

积分

高级会员

积分
1428

活字格高级认证悬赏达人活字格认证

黑色幽默 悬赏达人认证 活字格认证
高级会员   /  发表于:2022-6-20 18:29  /   查看:6212  /  回复:19
本帖最后由 David.Zhong 于 2022-6-23 12:17 编辑

比如我现在有一个应用已经发布了,我在另外一个工程HTTP发送OData请求能直接获取到应用后台的数据信息,只要知道域名 跟后台数据表的名称就能获取信息,这个权限怎么控制,安全性如何控制,好像设置了第三方授权也没起作用


如果创建了用户信息视图也能直接获取

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x

19 个回复

倒序浏览
David.Zhong讲师达人认证 悬赏达人认证 活字格认证
论坛元老   /  发表于:2022-6-20 19:47:32
沙发
权限搞起来~

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复 使用道具 举报
黑色幽默悬赏达人认证 活字格认证
高级会员   /  发表于:2022-6-20 20:44:03
板凳

我把目标应用设置勾选不允许匿名访问数据库,现在是不能在外面获取数据了,但是新问题又来了,现在有什么办法去获取呢。
OAuth认证那个能解决么?大佬指示一下。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复 使用道具 举报
黑色幽默悬赏达人认证 活字格认证
高级会员   /  发表于:2022-6-20 20:44:03
地板

我把目标应用设置勾选不允许匿名访问数据库,现在是不能在外面获取数据了,但是新问题又来了,现在有什么办法去获取呢。
OAuth认证那个能解决么?大佬指示一下。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复 使用道具 举报
吴小胖讲师达人认证 悬赏达人认证 活字格认证
金牌服务用户   /  发表于:2022-6-21 00:10:29
5#
【小胖课堂】别的小朋友有的,我们也要有!WebApi开发实例
https://gcdn.grapecity.com.cn/fo ... 3&fromuid=66072
(出处: 葡萄城产品技术社区)
这个不知道能不能帮到您~
回复 使用道具 举报
黑色幽默悬赏达人认证 活字格认证
高级会员   /  发表于:2022-6-21 09:50:27
6#
本帖最后由 黑色幽默 于 2022-6-21 10:00 编辑
吴小胖 发表于 2022-6-21 00:10
【小胖课堂】别的小朋友有的,我们也要有!WebApi开发实例
https://gcdn.grapecity.com.cn/forum.php?mod= ...

大佬,你的贴子我看过,但是好像适用于写服务端命令的API,这个OData请求好像默认就是匿名就能获取数据,我的目标工程里面没有写服务端命令
回复 使用道具 举报
黑色幽默悬赏达人认证 活字格认证
高级会员   /  发表于:2022-6-21 14:45:36
7#
不要沉
回复 使用道具 举报
逛逛逛
金牌服务用户   /  发表于:2022-6-21 15:52:44
8#
黑色幽默 发表于 2022-6-21 09:50
大佬,你的贴子我看过,但是好像适用于写服务端命令的API,这个OData请求好像默认就是匿名就能获取数据, ...

那就去写一个服务端命令,让他直接执行SQL。

回复 使用道具 举报
黑色幽默悬赏达人认证 活字格认证
高级会员   /  发表于:2022-6-21 16:02:19
9#
逛逛逛 发表于 2022-6-21 15:52
那就去写一个服务端命令,让他直接执行SQL。

我的意思是只要知道域名跟你应用后台的数据表名,外部就能直接OData请求获取表的信息,这样不是很不安全?
回复 使用道具 举报
David.Zhong讲师达人认证 悬赏达人认证 活字格认证
论坛元老   /  发表于:2022-6-21 16:15:09
10#
黑色幽默 发表于 2022-6-21 16:02
我的意思是只要知道域名跟你应用后台的数据表名,外部就能直接OData请求获取表的信息,这样不是很不安全 ...

大佬,我理解你的点,也非常感谢大佬对活字格的关心哈~
其实昨天看到大佬的问题的时候,我已经给领导反馈了,这个策略在我看来可能会存在一些安全上的风险。我给大佬反馈一下结论。
要想说明白这个问题,还是得从活字格的一些基本的策略开始说起。
活字格本身的表实际上默认有匿名访问的权限,同时我们也可以给活字格的页面可以设置匿名访问权限。
假设如果我们的表的权限设计为默认不可匿名访问,那么格友们在设计匿名访问页面的时候,可能会出现无法访问数据等一系列的问题。
考虑到数据安全问题,活字格本身也在表设置中提供了权限控制,同时包括对单元格和页面的权限控制等。以及全局设置中的是否允许匿名访问数据库。
我们本身是可以有很多方式解决这个问题的。
并且这个基本策略已经使用了这么久,一但修改的话,影响面会比较大。
我目前还在尝试和开发沟通,看有没有可能后续对这个基本策略做一些调整,我会尽我的努力哈~

至于设置了权限之后,无法匿名访问的问题,通过活字格提供的OAuth认证机制,应该也是可以解决的。大佬现在是OAuth认证没有调试通了吗还是?如果是OAuth的问题的话,可以单独发一个帖子,我和大佬一起研究一下~

再次感谢大佬的反馈哈~
回复 使用道具 举报
12下一页
您需要登录后才可以回帖 登录 | 立即注册
返回顶部