《玩转细粒度权限管理》 六,细粒度数据操作权限
摘要: 很多系统对于黑客不堪一击。请看这样的示例:
1. 前台展现客户能查看的客户数据,而且用户能删除的客户数据,就是前台展现出来的数据;
2. 当用户选择某个用户,点击删除按钮,后台执行删除操作。
比如,请求后台删除的url是:http://www.test.com/crm/customer.do?id=3
假设,id=13的客户在前台不显示(因为当前用户没有对该客户数据有删除权限),但用户输入http://www.test.com/crm/customer.do?id=13 显然id=13的客户将被删除掉。
有开发者建议采用id值不要使用自增长型,而改用其他型,比如hashcode等。这也不大合适,可以使用爬虫轻松地将漏洞爬出来。
显然,仅仅通过界面层次控制数据级权限是不够的。
阅读全文
posted @
2009-06-23 09:55 细粒度权限管理 阅读(3462) |
评论 (3) 编辑
《玩转细粒度权限管理》 五,细粒度数据查询权限(下)
摘要: 上一章讲解通过设计器,设计出数据查询,并在线测试。本章讲解如何快速定制数据查询,如果将业务代码中的if else逻辑判断去掉,如何将这种细粒度的权限集成到业务系统。
阅读全文
posted @
2009-06-21 21:47 细粒度权限管理 阅读(2105) |
评论 (0) 编辑
《玩转细粒度权限管理》 四,细粒度数据查询权限(上)
摘要: 通过基于角色访问控制,我们可以控制哪些人具有某种权限。比如总公司员工柴其贵、分公司员工李朵朵和营业部员工贾志宏,三个人都具有访问“查询员工”页面权限。但,由于他们三人所在公司级别不同(总公司、分公司和营业部),进入查询员工页面,系统展示出来的员工数据应该是不同的。
为此,很多系统代码里面充满了if else逻辑判断,造成业务与权限耦合。有更好的办法去除这种耦合吗?
阅读全文
posted @
2009-06-19 11:52 细粒度权限管理 阅读(2353) |
评论 (2) 编辑
《玩转细粒度权限管理》 三,用户角色权限RBCA
摘要: 本章详细讲解用户角色权限关系。这也就是RBCA(Role Based Access Control,基于角色的访问控制)。基于角色控制模型已经深入人心,关系并不复杂,广泛运用于各个系统。通过给用户赋予角色、角色拥有权限的模式,达到控制用户具有权限的目的。同时,还复用了角色,这样可以让多个相同职务(或职能)的人拥有同样的角色。RBCA模型怎么建立呢?又有哪些局限性。
阅读全文
posted @
2009-06-18 10:57 细粒度权限管理 阅读(3712) |
评论 (2) 编辑
《玩转细粒度权限管理》 二,登录及URL拦截
摘要: 通过Filter就可以轻松解决这样的需求:
某些页面没有登录可以查看;
某些页面必须登录才能查看,如果没有登录,转移到登录页面,成功登录后再转移回来;
某些页面必须验证当前登录用户是否具有请求该页面的权限,如果没有转移到权限不足提示界面。
阅读全文
posted @
2009-06-16 15:39 细粒度权限管理 阅读(3003) |
评论 (4) 编辑
《玩转细粒度权限管理》 一,安装
摘要: 每个系统都有权限管理。功能级权限管理比较简单,也容易提出出来。与业务紧密耦合的细粒度权限管理,怎样抽取出来呢?抽取出来后,好实现吗?这里提供了解决方案,而且细粒度的权限逻辑不需要编程和XML配置文件,借助设计器设计出来,还可以在线测试权限策略。
阅读全文
posted @
2009-06-16 11:16 细粒度权限管理 阅读(1245) |
评论 (1) 编辑