나는 파일과 디렉토리 목록을 얻기 위해 RESTful 웹 서비스를 호출하는 jsTree를 가지고있다. 이 호출을하는 사용자의 POSIX 권한을 기반으로이 웹 서비스가 할 수있는 것을 제한하고 싶습니다.특정 POSIX 권한으로 실행하도록 Ajax 호출을 제한하는 방법은 무엇입니까?
즉,이 특정 웹 서비스는 사용자가 액세스 할 수있는 POSIX 권한이있는 파일과 디렉토리 만 나열해야합니다.
현재 웹 서비스는 쿠키에서 암호화 된 데이터를 찾아 웹 사이트에 로그인 한 사용자를 확인합니다. 사용자가 인증되면 웹 서비스는 jsTree가 지정한 폴더 (예 : /home/userA
의 모든 파일 및 디렉토리)에 대한 응답을 내 보냅니다. 웹 서비스는 하위 디렉토리에서 다시 한 번 호출되며 하위 서브 디렉토리에서 다시 호출됩니다.
그러나 웹 서비스는 root
수준의 권한으로 실행되므로 다른 사용자 이름이 어떻게 든 userA
으로 지정되면 /home/userB
을 보려면 userA
에 볼 수있는 권한이 부여되지 않은 파일 및 디렉토리 목록을 볼 수 있습니다.
특정 사용자의 권한으로 웹 서비스를 실행할 수있는 suExec
에 해당하는 항목이 있습니까?
이 경우 도움이되는 특정 서비스는 Perl 스크립트이며 File::Find::Rule
을 사용하여 지정된 경로의 내용을 한 단계 상세하게 나열합니다.
편집
모두는 SSL로 암호화 된 연결을 통해 전송됩니다.
흠. 어쩌면 모든 행동을 별도의 스크립트에 넣고 쿠키의 암호화 된 사용자 이름에 기반하여'sudo'를 할 수 있습니까? 당신이 루트로 실행 중일 때, 실제 사용자로 sudo하는 것은 문제가되지 않습니다. –
쿠키로 사용자를 암호화 했습니까? 그리고 http를 통해 데이터를 보냅니 까? 이는 매우 나쁜 생각입니다. http://codebutler.com/firesheep에서 누군가가 커피 숍에서 Wi-Fi를 통해 내 사이트를 사용하면 어떻게 될지 간단하게 보여줍니다. – btilly