《白帽子讲Web安全》| 学习笔记之访问控制
第10章 访问控制
1、What Can I Do?
权限控制,或者说是访问控制,都是某个主体(subject)对某个客体(object)需要实施某种操作(operation),而系统对这种操作的限制就是权限控制。
在一个安全系统中,确定主体的身份是“认证”解决的问题;而客体是一种资源,是主体发起的请求的对象。在主体对客体进行操作的过程中,系统控制主体不能“无限制”地对客体进行操作,这个过程就是“访问控制”。一般 在操作过程中会收到ACL策略限制。
在Web应用中,根据访客客体的不同,常见的访问控制可以分为“基于URL的访问控制”、“基于方法(Method)的访问控制”、“基于数据的访问控制”。
2、垂直权限管理
基于角色的权限管理(RBAC模型)称之为垂直权限。
Spring Security提供了两种权限管理方式,一种是“基于URL的访问控制”,另一种“基于方法的访问控制”。在SpringSecurity都是验证该用户所属的角色,以决定是否授权。
3、水平权限管理
越权访问,即为水平权限管理问题。
水平权限是指在同一角色的不同用户的权限控制问题。相对于垂直权限管理而言,水平权限问题出现在同一个角色上,一般的系统只是验证了角色,没有在角色内的用户做细分,也没有对数据的子集做细分,因此缺乏一个用户到数据之间的对应关系。
由于水平权限管理是系统缺乏一个数据级的访问控制所造成的,因此水平权限管理又可以称为“基于数据的访问控制”。
4、OAuth简介
OAuth是一个在不提供用户名和密码的情况下,授权第三方应用访问Web资源的安全协议。
OpenID解决的是认证问题,OAuth则更注重授权。
OAuth协议为用户资源的授权提供了一个安全的、开放而又简易的标准。OAuth解决了授权信任问题,第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权。
5、小结
无论选择哪种访问控制方式,在设计方案时都应该满足“最小权限原则”,这是权限管理的黄金法则。
《白帽子讲Web安全》| 学习笔记之访问控制相关推荐
- 白帽子讲web安全 ——读书笔记:术语和理论
最近心血来潮,对安全这些略感兴趣,就买了本 白帽子讲web安全 看看 ,这里做个读书笔记吧!方便啥时候忘了再看一下. exploit--漏洞利用代码 Script kids --脚本小子,利用expl ...
- 白帽子讲WEB安全读书笔记(慢慢更新)
道哥写的白帽子讲WEB安全的读书笔记 文章目录 2020.3.23 ◆ 前言 ◆ 第一篇 世界观安全 1.1 Web安全简史 >> 1.1.1 中国黑客简史 >> 1.1.2 ...
- 白帽子讲Web安全读书笔记
Part1:安全的发展,或者说,黑客的发展 黑客是什么? 互联网本来是安全的,自从有了研究安全的人之后,互联网就变得不安全了. "root"对黑客的吸引,就像大米对老鼠,美女对色狼 ...
- 《白帽子讲Web安全》笔记 - 白帽子兵法
Secure By Default 原则 "Secure by Default"原则,也可以归纳为白名单.黑名单的思想. 黑名单.白名单 尽可能使用白名单,不使用黑名单.例如:要做 ...
- 白帽子讲web安全读书笔记(Ⅰ)
一.我的安全世界观 1.1999年sql注入是web安全的里程碑,2003年MySpace发生XSS蠕虫后XSS引起关注. 2.黑帽:找到一个弱点 白帽:加固所有脆弱 (心态不同,目的不同) 3.安 ...
- 白帽子讲Web安全学习之浏览器
目录 1.同源策略 2.浏览器沙箱 3. 恶意网址拦截 1.同源策略 同源策略是一种约定,它是浏览器最核心也是最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能会受到影响 ...
- 白帽子讲Web安全学习之CSRF
目录 1.CSRF简介 2.CSRF进阶 2.1 浏览器Cookie策略和P3P的副作用 2.2 提交方式 2.3 CSRF防御 2.3.1 验证码 2.3.2 Referer Check 2.3.3 ...
- 《白帽子讲Web安全》学习笔记
一.为何要了解Web安全 最近加入新公司后,公司的官网突然被Google标记为了不安全的诈骗网站,一时间我们信息技术部门成为了众矢之的,虽然老官网并不是我们开发的(因为开发老官网的前辈们全都跑路了). ...
- 分享笔记1 之《白帽子讲web安全》
分享笔记1 之<白帽子讲web安全> 目录 第一篇 世界观安全 第1章 我的安全世界观 2 1.1 web安全简史 2 1.1.1 中国黑客简史 2 1.1.2 黑客技术的发展历程 3 1 ...
- 在学习web安全的小白看过来,这本《白帽子讲web安全》强烈推荐,必读!(附PDF)
Web是互联网的核心,是未来云计算和移动互联网的最佳载体,因此Web安全也是互联网公司安全业务中最重要的组成部分. 前排提醒:文末有pdf领取 下面来看看几种常见的web漏洞: 1.XSS跨站脚本攻击 ...
最新文章
- 2018-3-25论文(Whale Optimizer Algorithm)+(Gery Wolf Optimizer)笔记二---Introduction 对比
- linux里面查看llvm的版本,linux llvm安装
- python里none什么意思_python中stream=None什么意思?
- 图片转圈实现_如何编辑图片?
- L2R 三:常用工具包介绍之 XGBoost与LightGBM
- PyTorch 1.0 中文文档:torch.onnx
- lucene-SpanNotQuery和SpanOrQuery交迭与全局跨度
- android 颜色测试,颜色 大师 (Color Sense Master) - 颜色测试
- 深度学习:BERT模型
- Pytorch-> pack_padded_sequence()和pad_packed_sequence()
- voip 软电话 客户端实例 SIP
- MAC 如何配置 PCL 库并在 VS Code 中使用
- MS17-010(永恒之蓝)适合Windows 2008r2的补丁如何打?
- 前端页面项目——博客系统
- 智能手表音频特性测试_Kido × 蜻蜓FM打造音频内容营销新范本,高效精准助品牌弯道超车...
- Dual-View Distilled BERT for Sentence Embedding
- iPhone中将MP3设置为铃声
- WP 平衡球游戏开发教程(一) -初识 XNA Farseer Magic
- cad 二次开发 插入图片_CAD 二次开发 引用外部DWG并放到对应图层上
- SolidWorks 2021 SP4.1 Full Premium Multilingual x64