论坛首页 Java企业应用论坛

程序的安全性包括哪些方面?是什么原因让我们不去考虑程序的安全性,程序又运行的相对安全???

浏览 2920 次
精华帖 (0) :: 良好帖 (0) :: 新手帖 (0) :: 隐藏帖 (0)
作者 正文
   发表时间:2009-03-20  
如题,欢迎大家讨论。
   发表时间:2009-03-20   最后修改:2009-03-20
我就说权限管理吧,因为我是专门权限管理的,我在这个领域搞了4年。

权限管理范畴
1,功能级权限,可以让最终用户设置。(用户--角色--权限模型)
2,细粒度权限,根据用户需求,软件开发者开发在系统里面的。比如总公司HR用户登录看到全部员工信息,分公司HR用户登录查看到本分公司及下属营业部员工信息。
(细粒度权限,大多系统都是写死的,也就是硬编码。当需求变化的时候,又要改代码。不排除有些企业开发出系统,可以改改参数表之类,可以解决问题的)


权限应用场景最好应该是怎样的
1,业务方法,比如向数据插入、删除、修改数据,不要考虑权限,就是简单的SQL语句;
2,在控制层需要权限的地方,执行权限判断。
例子:
public class ControlServlet extends HttpServlet {
   ....
   // 权限判断
   if( condtion1 && condition 2 ) {
         // 满足条件1和条件2,插入      
simpleBusinessMethod.insert( entity );
   } else if( condition3 ) {
      //满足条件3,插入
      simpleBusinessMethod.insert( entity );
   }
   ....
}

0 请登录后投票
   发表时间:2009-03-20   最后修改:2009-03-23
如果一个系统,权限控制的非常好,让用户没有缝隙可钻。比如(SQL注入、url带有参数绕过界面菜单控制)。  如果做到这样,那么我认为这个系统是安全的。

引出如下问题:
1,能否将权限从业务中剥离出来,因为程序中充满if / else 判断不好看,也增加出现不安全要素可能性;
2,怎样让权限管理变的简单,不仅实施起来非常容易,而且需求发生变动的时候,也要能快速挑战过来。

有兴趣可以浏览我SINA BLOG: http://blog.sina.com.cn/metadmin 。



------------
实现细粒度权限管理
www.metadmin.com
0 请登录后投票
   发表时间:2009-03-20  
权限控制,不错,一个好的权限管理,的确可以提高应用的安全性。
想必权限控制肯定也不是唯一的办法。希望大家有更深入的讨论。
比如在,架构层次,语言层次,设计模式,硬件环境,企业应用,门户网站。
请大家不要吝啬哦。
0 请登录后投票
   发表时间:2009-03-20  
是因为我们的数据不敏感,没人黑我们
0 请登录后投票
   发表时间:2009-03-23  
mazzystar 写道
是因为我们的数据不敏感,没人黑我们

同意。
0 请登录后投票
   发表时间:2009-03-23  
但是如果想要提高安全性这方面,该怎么做呢?
0 请登录后投票
   发表时间:2009-04-02  
还是因为客户没重视吧,客户重视了你就逃不了了
0 请登录后投票
论坛首页 Java企业应用版

跳转论坛:
Global site tag (gtag.js) - Google Analytics