《玩转细粒度权限管理》 六，细粒度数据操作权限      摘要: 很多系统对于黑客不堪一击。请看这样的示例：
1. 前台展现客户能查看的客户数据，而且用户能删除的客户数据，就是前台展现出来的数据；
2. 当用户选择某个用户，点击删除按钮，后台执行删除操作。
比如，请求后台删除的url是：http://www.test.com/crm/customer.do?id=3
假设，id=13的客户在前台不显示（因为当前用户没有对该客户数据有删除权限），但用户输入http://www.test.com/crm/customer.do?id=13 显然id=13的客户将被删除掉。

有开发者建议采用id值不要使用自增长型，而改用其他型，比如hashcode等。这也不大合适，可以使用爬虫轻松地将漏洞爬出来。

显然，仅仅通过界面层次控制数据级权限是不够的。  阅读全文

夏至到了

《玩转细粒度权限管理》 五，细粒度数据查询权限（下）      摘要: 上一章讲解通过设计器，设计出数据查询，并在线测试。本章讲解如何快速定制数据查询，如果将业务代码中的if else逻辑判断去掉，如何将这种细粒度的权限集成到业务系统。  阅读全文

《玩转细粒度权限管理》 四，细粒度数据查询权限（上）      摘要: 通过基于角色访问控制，我们可以控制哪些人具有某种权限。比如总公司员工柴其贵、分公司员工李朵朵和营业部员工贾志宏，三个人都具有访问“查询员工”页面权限。但，由于他们三人所在公司级别不同（总公司、分公司和营业部），进入查询员工页面，系统展示出来的员工数据应该是不同的。
为此，很多系统代码里面充满了if else逻辑判断，造成业务与权限耦合。有更好的办法去除这种耦合吗？  阅读全文

《玩转细粒度权限管理》 三，用户角色权限RBCA      摘要: 本章详细讲解用户角色权限关系。这也就是RBCA(Role Based Access Control，基于角色的访问控制)。基于角色控制模型已经深入人心，关系并不复杂，广泛运用于各个系统。通过给用户赋予角色、角色拥有权限的模式，达到控制用户具有权限的目的。同时，还复用了角色，这样可以让多个相同职务（或职能）的人拥有同样的角色。RBCA模型怎么建立呢？又有哪些局限性。  阅读全文

《玩转细粒度权限管理》 二，登录及URL拦截      摘要: 通过Filter就可以轻松解决这样的需求：
某些页面没有登录可以查看；
某些页面必须登录才能查看，如果没有登录，转移到登录页面，成功登录后再转移回来；
某些页面必须验证当前登录用户是否具有请求该页面的权限，如果没有转移到权限不足提示界面。  阅读全文

《玩转细粒度权限管理》 一，安装      摘要: 每个系统都有权限管理。功能级权限管理比较简单，也容易提出出来。与业务紧密耦合的细粒度权限管理，怎样抽取出来呢？抽取出来后，好实现吗？这里提供了解决方案，而且细粒度的权限逻辑不需要编程和XML配置文件，借助设计器设计出来，还可以在线测试权限策略。  阅读全文