saas系統的安全控制簡介:
[list]
[*]控制url資源
[*] 資料提取,在action提取資料時,以會話所在租戶作為方法引數
[*] 資料修改控制,驗證被操作的資料所屬租戶與會話租戶是否一致;實現的方法,通過hibernate的事件機制進行驗證
[*] 基於acl機制的資料共享控制;實現方法:存放物件id,可訪問人,訪問方式;通過aop將相關的驗證***繫結到服務類,自動的提取引數或返回值進行驗證。
[/list]
這麼做的理由,很簡單,1,2,3逐步加深控制。控制url,只能控制訪問的功能,不能控制資料;控制了資料的提取,控制不到資料的修改。
4則是為了豐富資料的控制,如業務員之間的銷售資料互不可見,但又可通過共享使得互相可見,或是控制共享的方式,或是銷售經理可管理所有的資料。
第7章 SAAS 系統安全
1.應用安全 身份認證 許可權管理 基於rbac 方式,基於角色的訪問控制,來設計系統的安全。日誌記錄 客戶行為日誌 資料日誌 日誌記錄的安全保護。應用監控 對系統的效能檢測。2.資料安全 資料隔離,資料庫連線安全 敏感資料加密 資料量監控 3.網路安全 安全傳輸 採用ssl 方式訪問。網路攻擊防範...
工控系統安全簡介
ics 乙個系統的總稱,包括了很多裝置和子系統 包括以下內容 scada資料採集和監控系統 scada是工控系統重要元件,用於控制地理上分散的裝置。本地單元從現場檢測工作狀態,獲取資料使用遠端通訊鏈路連線到scada控制中心 控制中心根據資料,自動或手動執行操作,遠端控制本地裝置啟停,不如開啟 關閉...
系統安全 訪問控制
概念 什麼是訪問控制 access control 為使用者對系統資源提供最大限度共享的基礎上,對使用者的訪問權進行管理,防止對資訊的非授權篡改和濫用 訪問控制作用 保證使用者在系統安全策略下正常工作 拒絕非法使用者的非授權訪問請求 拒絕合法使用者越權的服務請求 訪問控制模型 什麼是訪問控制模型 對...