超级会员免费看
构建 Java Web 应用的坚不可摧的访问控制系统
1. 访问控制的重要方面——问责制
问责制是强大访问控制系统中极为重要的一个方面,但遗憾的是,它也是访问控制中实施最少的部分之一。问责制旨在利用审计跟踪和日志等方法,将系统用户与其在系统上执行的操作关联起来,确保用户对其在系统上的行为负责。
例如,如果系统管理员持续创建虚拟用户 ID 并窃取系统中的敏感信息,若没有有效的日志记录机制或审计跟踪,就无法将这些事件追溯到该管理员。审计跟踪的目的是为系统中的用户行为维持一定程度的问责性。
2. 访问控制模型
访问控制模型是定义用户如何访问系统资源的框架。这些模型运用访问控制的概念,即身份验证、授权和问责制,来定义用户访问资源的参数,并执行这些定义。常见的访问控制模型有以下三种:
- 自主访问控制(Discretionary Access Control,DAC)
- 原理 :基于所有权的概念。如果用户创建了一个文件,他就是该文件的所有者,即数据所有者。数据所有者决定谁可以或不可以访问该文件,以及用户对该文件拥有哪些权限。
- 示例 :Bob 创建了一个名为 employees.xls 的文件,他希望 Scott 能够读取该文件,于是他可以指定只允许 Scott 读取该文件,而不能进行编辑或删除操作。
- 实现方式 :通过访问控制列表(Access Control Lists,ACLs)来实施。这些列表包含了访问特定文件或资源的规则,明确列出了允许访问对象(资源)的主体(用
订阅专栏 解锁全文
扫一扫
580
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
