美文网首页
白帽子讲web安全-访问控制

白帽子讲web安全-访问控制

作者: 北邮小菜鸡 | 来源:发表于2020-03-15 21:15 被阅读0次

    whoami

    权限控制,或者说访问控制,抽象的说,都是某个主体对某个客体需要实施某种操作,而系统对这种操作的限制就是权限控制。

    在网络中:为了保护网络资源的安全,一般都是通过路由设备或者防火墙建立基于IP的访问控制。

    在操作系统:对文件的访问,采用访问控制列表。

    在web应用中:有基于URL的访问控制,基于方法的访问控制,基于数据的访问控制。

    垂直权限管理(基于角色的访问控制,包含URL和方法)

    访问控制实际是建立用户与权限之间的对应的关系,就是RABC。

    spring security就是基于spring mvc框架,这里只关注spring security的授权功能。本质就是验证用户所属的角色,以决定是否授权。

    水平权限管理(基于数据的访问控制)

    就是同等权限级别的用户之间,发生在同级别之间的越权访问。

    一个简单的数据级访问控制,可以考虑使用用户组的概念,比如一个用户组的数据只属于该组的成员,才能实现对数据的操作。

    oauth

    你的毕业设计,用第三方实现信任问题。

    三个URL

    Request Token URL: 获取未授权的Request Token服务地址;

    User Authorization URL: 获取用户授权的Request Token服务地址;

    Access Token URL: 用授权的Request Token换取Access Token的服务地址;

    无论使用哪种控制方式,在设计方案时都应该满足最小权限原则。

    相关文章

      网友评论

          本文标题:白帽子讲web安全-访问控制

          本文链接:https://www.haomeiwen.com/subject/eombehtx.html