白帽子讲web安全-访问控制

2020-03-15  本文已影响0人  北邮小菜鸡

whoami

权限控制,或者说访问控制,抽象的说,都是某个主体对某个客体需要实施某种操作,而系统对这种操作的限制就是权限控制。

在网络中:为了保护网络资源的安全,一般都是通过路由设备或者防火墙建立基于IP的访问控制。

在操作系统:对文件的访问,采用访问控制列表。

在web应用中:有基于URL的访问控制,基于方法的访问控制,基于数据的访问控制。

垂直权限管理(基于角色的访问控制,包含URL和方法)

访问控制实际是建立用户与权限之间的对应的关系,就是RABC。

spring security就是基于spring mvc框架,这里只关注spring security的授权功能。本质就是验证用户所属的角色,以决定是否授权。

水平权限管理(基于数据的访问控制)

就是同等权限级别的用户之间,发生在同级别之间的越权访问。

一个简单的数据级访问控制,可以考虑使用用户组的概念,比如一个用户组的数据只属于该组的成员,才能实现对数据的操作。

oauth

你的毕业设计,用第三方实现信任问题。

三个URL

Request Token URL: 获取未授权的Request Token服务地址;

User Authorization URL: 获取用户授权的Request Token服务地址;

Access Token URL: 用授权的Request Token换取Access Token的服务地址;

无论使用哪种控制方式,在设计方案时都应该满足最小权限原则。

上一篇下一篇

猜你喜欢

热点阅读