以下內容學習自 《白帽子講web安全》
許可權控制:某個主體(subject)對某個客體(object)進行某些操作,而系統對這個操作的限制就是許可權控制
在乙個安全系統中,確定主體的身份叫認證,而客廳是一種資源,是主體發起請求的物件。主體對客體的操作中,主體不能無限制的對客體進行操作,所以,主體能夠做什麼,就是許可權。許可權可以區分為不能的能力,比如linux系統中,對檔案的讀,寫,執行能力,在web應用中,根據訪問客體的不同,常用的訪問控制包括:"基於url的訪問控制,「基於方法(method)的訪問控制」,「基於資料的訪問控制」。
基於url 的訪問控制
在某些情況下,一些頁面不會被鏈結到前台頁面上,搜素引擎也不會搜素到這些頁面,這些也被"藏起來"了。但是這樣並不安全,一些攻擊者會使用一部包含很多後台路徑的字典,把這些藏起來的頁面掃出來。
那麼應該怎麼設計乙個訪問控制系統呢?
垂直許可權管理
訪問控制實際上是建立使用者與許可權之間的對應關係,現在廣泛應用的一種方法是"基於角色的訪問控制(role-based access control)",簡稱 rbac
rbac事先會在系統中定義不同的角色,不同的角色擁有不同的許可權,乙個角色實際上就是乙個許可權的集合,而系統中所有的使用者都會被分配到不同的角色中。乙個使用者可能擁有多個角色。在系統驗證許可權時,只需要驗證使用者所屬的角色,然後就可以根據該角色所擁有的許可權進行授權了。
spring security 是基於spring mvc 框架,
spring security 中的許可權管理就是rbac模型的乙個實現。
未完
許可權與安全
許可權系統的工作原理 身份認證 許可權表的訪問 使用者表user 賬號管理 建立或更改賬號 資料庫的許可權和資料庫的安全是息息相關的,不當的許可權設定可能會導致各種各樣的安全隱患,作業系統的某些設定也會對 mysql 的安全造成影響。mysql的許可權系統通過下面兩個階段進行認證 對於身份認證,my...
mysql與安全 mysql許可權與安全
一 mysql許可權系統通過兩個階段進行認證 a 對使用者進行身份認證,ip位址和使用者名稱聯合,b 對合法使用者賦予相應許可權,許可權表在資料庫啟動的時候載入記憶體中。二 在許可權的訪問過程中,會用到 mysql 資料庫中的user host和db這3個許可權表。兩階段驗證過程 a user表中 ...
檔案許可權與安全
root pc ls l file rw r r 1 root root 0 2012 07 26 14 52 file rw r r 是檔案的許可權位。第一位是檔案型別 d 目錄 l 符號連線 s 套接字 b block裝置 c 字元裝置 普通檔案 除去最前面的1位,後面跟著的分別是檔案屬主 同組...