权限设计问题

总部打算开发一套系统，为了保密所以会限制合作伙伴的使用，比如禁止给其他第三方的用。如何解决？想到了限制 ip，但感觉不灵活，毕竟可以解释要外出用笔记本。还有其他比较大的杀招吗

yhyh

2019-04-29 10:07:46 +08:00

token ？

heww

2019-04-29 10:10:03 +08:00

使用前，人脸识别来一波。

smeraldo

2019-04-29 10:10:59 +08:00

证书

annielong

2019-04-29 10:14:10 +08:00

想灵活现今还真要人脸一波，其它证书 uKey 等都可以外接，

DefineJ

2019-04-29 10:17:01 +08:00

不用账号吗

ParallelMao

2019-04-29 10:18:14 +08:00

vpn

x9sec

2019-04-29 10:19:39 +08:00

401 Auth Basic

marsgt

2019-04-29 10:22:14 +08:00

没听太懂。。。是要弄 RBAC 么？

zjsxwc

2019-04-29 10:25:37 +08:00

做不到，我网银都可以借给别人用，你能咋滴

Fazauw

2019-04-29 10:27:22 +08:00

加密狗？

no1xsyzy

2019-04-29 10:29:05 +08:00

“禁止给其他第三方的用” 太宽泛了
假设合作伙伴 B，第三方 C
你要做到：允许 B 访问，而不允许 C 访问，即使 B 做出再大的帮助。
只看原题可能会开始想办法，但其实应该先想边界。
举个几乎不能检测的例子：如果是 C 电话指挥 B 操作并把显示的内容报过去呢？

dovme

2019-04-29 10:38:32 +08:00

不太懂，给他一个账号？用这个账号登录就是他本人啊。

reus

2019-04-29 11:15:37 +08:00

你们连个账户系统都没有？

zwl2012

2019-04-29 11:16:24 +08:00

生物特征认证

reus

2019-04-29 11:17:06 +08:00

或者按使用分钟收费，反正给谁用都一样收费。

sonyxperia

2019-04-29 11:22:28 +08:00

license

index90

2019-04-29 11:40:16 +08:00

如果你只是想限制谁能访问谁不能访问，这是访问授权问题。如果你想控制已授权用户的行为，那是权限控制问题。

从 LZ 的描述，是前者？那就用黑白名单的方式解决了。iptable 不方便的话，把系统部署到一个子网里，访问者通过 VPN 到子网然后使用，通过分发密钥来授权用户。如果系统可以自己开发的话，搞个登录程序就可以了，有账户密码的人才能访问。有多难？

reus

2019-04-29 11:44:50 +08:00

合同里写明不给第三方用，违反合同就赔偿，金额定高点。然后时不时找个人去钓鱼。至少让他们知道给三方用有风险，或者可以主动规制。

bumz

2019-04-29 12:19:05 +08:00

除非用摄像头，时刻监控为本人操作
然后白名单允许操作系统的人

Proxy233

2019-04-29 12:30:53 +08:00

密码+手机验证码登录，90 天强制修改密码，必须使用 vpn 进入网络

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/559657

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.