安全模型中應(yīng)用各種有益的訪問控制概念
* 自主訪問控制.管理員可將自己的權(quán)限分配給其他與擁有特殊資源有關(guān)的用戶,在封閉型的DAC模型中,除非許可,否則拒絕訪問。管理員還可以鎖定或終止某個(gè)用戶賬戶。在開放型DAC模型中,除非明確廢除許可,否則允許訪問。各種應(yīng)用程序用戶有權(quán)創(chuàng)建用戶賬戶,并再次應(yīng)用自主訪問控制。
* 基于角色的訪問控制.這種控制使用許多命名的角色,每個(gè)角色擁有各不相同的特殊權(quán)限,每個(gè)用戶分配有一個(gè)這樣的角色。這樣做可簡(jiǎn)化不同權(quán)限的分配與實(shí)施,并有助于管理復(fù)雜應(yīng)用程序中的訪問控制。使用角色對(duì)用戶執(zhí)行“前沿”訪問檢查有助于實(shí)行最少量的處理迅速拒絕許多未授權(quán)的請(qǐng)求。對(duì)特殊用戶可訪問的URL路徑加以保護(hù)就是這種方法的一個(gè)典型應(yīng)用。
如果
眉山網(wǎng)頁設(shè)計(jì)使用平臺(tái)級(jí)控制、基于HTTP方法和URL限制對(duì)不同程序角色的訪問,應(yīng)將這些控制設(shè)計(jì)為使用默認(rèn)拒絕模式,因?yàn)檫@是防火墻規(guī)則好做法。這其中包括各種特定規(guī)則,用于將某些HTTP方法和URL分配給特定角色,而且隨后的規(guī)則應(yīng)拒絕不符合前一規(guī)則的任何請(qǐng)求
* 編程控制。數(shù)據(jù)庫(kù)權(quán)限矩陣保存在一個(gè)數(shù)據(jù)庫(kù)表中,并以編程的顯示來做出訪問控制決定。對(duì)用戶角色進(jìn)行分類可以簡(jiǎn)化某些訪問控制檢查,這一任務(wù)同樣可以通過編程來完成。編程控制可能極其猥瑣,并可能在應(yīng)用程序中建立非常復(fù)雜的訪問控制邏輯。
* 聲明式控制。應(yīng)用程序使用有限的數(shù)據(jù)庫(kù)賬戶訪問數(shù)據(jù)庫(kù)。它對(duì)不同的用戶群體使用不同的賬戶,每個(gè)賬戶分配到執(zhí)行該群體所允許執(zhí)行的操作所必需的最低權(quán)限。這種聲明式控制從應(yīng)用程序以外進(jìn)行聲明,這是深層防御原理的一個(gè)非常有用的應(yīng)用,因?yàn)闄?quán)限是由另外一個(gè)組件賦予應(yīng)用程序的。這樣,即使一名用戶突破在應(yīng)用程序?qū)拥脑L問控制,企圖實(shí)施添加新用戶之類的敏感操作,他仍然會(huì)被阻止,因?yàn)樗褂玫臄?shù)據(jù)庫(kù)賬戶并未在數(shù)據(jù)庫(kù)內(nèi)獲得必要的權(quán)限。
另一種情況是在噢誒在應(yīng)用程序的過程中,通過配置描述符文件在應(yīng)用程序服務(wù)器上應(yīng)用聲明式訪問控制。但是,這種應(yīng)用一般相對(duì)簡(jiǎn)單,并且無法靜心擴(kuò)展,所以無法管理大型應(yīng)用程序中中立繁多的權(quán)限。
關(guān)鍵字:
重慶網(wǎng)站制作,
成都建站公司,
成都網(wǎng)站建設(shè),
深圳做網(wǎng)站,
深圳網(wǎng)站優(yōu)化,
眉山網(wǎng)頁設(shè)計(jì)
分享名稱:安全模型中應(yīng)用各種有益的訪問控制概念
標(biāo)題網(wǎng)址:http://www.rwnh.cn/news/163286.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供Google、網(wǎng)站制作、微信公眾號(hào)、全網(wǎng)營(yíng)銷推廣、手機(jī)網(wǎng)站建設(shè)、域名注冊(cè)
廣告
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來源:
創(chuàng)新互聯(lián)