《白帽子講Web安全》學習筆記之訪問控制

1、what can i do？

許可權控制，或者說是訪問控制，都是某個主體（subject）對某個客體（object）需要實施某種操作（operation)，而系統對這種操作的限制就是許可權控制。

在乙個安全系統中，確定主體的身份是「認證」解決的問題；而客體是一種資源，是主體發起的請求的物件。在主體對客體進行操作的過程中，系統控制主體不能「無限制」地對客體進行操作，這個過程就是「訪問控制」。一般在操作過程中會收到acl策略限制。

在web應用中，根據訪客客體的不同，常見的訪問控制可以分為「基於url的訪問控制」、「基於方法（method)的訪問控制」、「基於資料的訪問控制」。

2、垂直許可權管理

基於角色的許可權管理（rbac模型）稱之為垂直許可權。

spring security提供了兩種許可權管理方式，一種是「基於url的訪問控制」，另一種「基於方法的訪問控制」。在springsecurity都是驗證該使用者所屬的角色，以決定是否授權。

3、水平許可權管理

越權訪問，即為水平許可權管理問題。

水平許可權是指在同一角色的不同使用者的許可權控制問題。相對於垂直許可權管理而言，水平許可權問題出現在同乙個角色上，一般的系統只是驗證了角色，沒有在角色內的使用者做細分，也沒有對資料的子集做細分，因此缺乏乙個使用者到資料之間的對應關係。

由於水平許可權管理是系統缺乏乙個資料級的訪問控制所造成的，因此水平許可權管理又可以稱為「基於資料的訪問控制」。

4、oauth簡介

oauth是乙個在不提供使用者名稱和密碼的情況下，授權第三方應用訪問web資源的安全協議。

openid解決的是認證問題，oauth則更注重授權。

oauth協議為使用者資源的授權提供了乙個安全的、開放而又簡易的標準。oauth解決了授權信任問題，第三方無需使用使用者的使用者名稱與密碼就可以申請獲得該使用者資源的授權。

5、小結

無論選擇哪種訪問控制方式，在設計方案時都應該滿足「最小許可權原則」，這是許可權管理的**法則。

《白帽子講Web安全》 學習筆記之訪問控制