浏览 2920 次
精华帖 (0) :: 良好帖 (0) :: 新手帖 (0) :: 隐藏帖 (0)
|
|
---|---|
作者 | 正文 |
发表时间:2009-03-20
声明:ITeye文章版权属于作者,受法律保护。没有作者书面许可不得转载。
推荐链接
|
|
返回顶楼 | |
发表时间:2009-03-20
最后修改:2009-03-20
我就说权限管理吧,因为我是专门权限管理的,我在这个领域搞了4年。
权限管理范畴: 1,功能级权限,可以让最终用户设置。(用户--角色--权限模型) 2,细粒度权限,根据用户需求,软件开发者开发在系统里面的。比如总公司HR用户登录看到全部员工信息,分公司HR用户登录查看到本分公司及下属营业部员工信息。 (细粒度权限,大多系统都是写死的,也就是硬编码。当需求变化的时候,又要改代码。不排除有些企业开发出系统,可以改改参数表之类,可以解决问题的) 权限应用场景最好应该是怎样的: 1,业务方法,比如向数据插入、删除、修改数据,不要考虑权限,就是简单的SQL语句; 2,在控制层需要权限的地方,执行权限判断。 例子: public class ControlServlet extends HttpServlet { .... // 权限判断 if( condtion1 && condition 2 ) { // 满足条件1和条件2,插入 simpleBusinessMethod.insert( entity ); } else if( condition3 ) { //满足条件3,插入 simpleBusinessMethod.insert( entity ); } .... } |
|
返回顶楼 | |
发表时间:2009-03-20
最后修改:2009-03-23
如果一个系统,权限控制的非常好,让用户没有缝隙可钻。比如(SQL注入、url带有参数绕过界面菜单控制)。 如果做到这样,那么我认为这个系统是安全的。
引出如下问题: 1,能否将权限从业务中剥离出来,因为程序中充满if / else 判断不好看,也增加出现不安全要素可能性; 2,怎样让权限管理变的简单,不仅实施起来非常容易,而且需求发生变动的时候,也要能快速挑战过来。 有兴趣可以浏览我SINA BLOG: http://blog.sina.com.cn/metadmin 。 ------------ 实现细粒度权限管理 www.metadmin.com |
|
返回顶楼 | |
发表时间:2009-03-20
权限控制,不错,一个好的权限管理,的确可以提高应用的安全性。
想必权限控制肯定也不是唯一的办法。希望大家有更深入的讨论。 比如在,架构层次,语言层次,设计模式,硬件环境,企业应用,门户网站。 请大家不要吝啬哦。 |
|
返回顶楼 | |
发表时间:2009-03-20
是因为我们的数据不敏感,没人黑我们
|
|
返回顶楼 | |
发表时间:2009-03-23
mazzystar 写道 是因为我们的数据不敏感,没人黑我们
同意。 |
|
返回顶楼 | |
发表时间:2009-03-23
但是如果想要提高安全性这方面,该怎么做呢?
|
|
返回顶楼 | |
发表时间:2009-04-02
还是因为客户没重视吧,客户重视了你就逃不了了
|
|
返回顶楼 | |