白帽子讲web安全-访问控制
2020-03-15 本文已影响0人
北邮小菜鸡
whoami
权限控制,或者说访问控制,抽象的说,都是某个主体对某个客体需要实施某种操作,而系统对这种操作的限制就是权限控制。
在网络中:为了保护网络资源的安全,一般都是通过路由设备或者防火墙建立基于IP的访问控制。
在操作系统:对文件的访问,采用访问控制列表。
在web应用中:有基于URL的访问控制,基于方法的访问控制,基于数据的访问控制。
垂直权限管理(基于角色的访问控制,包含URL和方法)
访问控制实际是建立用户与权限之间的对应的关系,就是RABC。
spring security就是基于spring mvc框架,这里只关注spring security的授权功能。本质就是验证用户所属的角色,以决定是否授权。
水平权限管理(基于数据的访问控制)
就是同等权限级别的用户之间,发生在同级别之间的越权访问。
一个简单的数据级访问控制,可以考虑使用用户组的概念,比如一个用户组的数据只属于该组的成员,才能实现对数据的操作。
oauth
你的毕业设计,用第三方实现信任问题。
三个URL
Request Token URL: 获取未授权的Request Token服务地址;
User Authorization URL: 获取用户授权的Request Token服务地址;
Access Token URL: 用授权的Request Token换取Access Token的服务地址;
无论使用哪种控制方式,在设计方案时都应该满足最小权限原则。