对访问控制中"最小特权原则"的理解

原创 2006年06月15日 22:38:00
  在网上看到许多资料介绍访问控制中的一个基本原则“最小特权原则”是“在需要时才给用户分配所需的权限”,感觉这样如果从字面理解的会产生歧义,如果不在授权时为操作者指派特定的权限,那么在操作者对某个资源进行操作时才根据该访问规则对该操作者指派对该资源的操作权限话。这就暗示着该操作者拥有对系统中所有资源的访问权限。举个例子,某个公司新招聘了个员工N,hr把他带到各个部门转了一圈,并没有为他安排工作岗位,只是说:“大家以后就是同事了。”。谁都不知道他是干嘛的。在一个项目中开发工程中,A完成了一个零部件的设计,完成后提交审核。就N闲着,他拿到图纸进行审核,完了签上大名。提交给工艺,转到工艺部,看到工艺部都在忙,顺便又签上大名……,一路下来,都是他的大名。闲得无聊,在公司转了一大圈,他是看到什么做什么,谁都不知道是做什么的,也不知道他的职位高低。他充当了革命的螺丝钉,哪里需要哪里钻。要是哪天老板不在,他说不定把老板要做事都做了。
  
  自己对“最小特权原则”理解是,一定要在操作者在操作以前为他指派权限。这样就定义了操作者的权限边界,当操作者要对某个资源进行操作时,系统会在他的权限边界内匹配是否有对该资源的操作权限,有就可以让他进行操作,没有就拒绝。这就象现实中,必须为员工安排工作岗位,限定他的工作职责范围。

相关文章推荐

系统安全原则:最小特权

最小特权原则是系统安全中最基本的原则之一。具体来说,指的是“在完成某种操作时,赋予系统主体(用户或进程)所必须的最小特权,确保系统由于事故、错误、篡改等原因造成的损失最小”。 最小特权原则一方面...

派生类的访问控制-“三看”原则-派生类类成员访问级别设置的原则

详细解释了派生类对于父类中的成员的访问控制,通过三看原则,demo分析怎么判断一个数据的访问是否合法。...

快速理解类的访问控制(public,protected,private)

接触过面向对象编程的朋友们都知道类中的访问控制符无非有三个,public, protected, private。 理解他就先从期望他达到的效果先说吧   Public: 使成员对于整个程序内(...

轻松理解—继承成员访问控制机制

在我们学习面向对象程序设计的时候,那么这个继承成员访问控制机制您必须对其有深入的了解,达到熟练掌握的目的;要不也许这点知识你不过关,你对这点知识还抱着半信半疑的感觉,那么你一旦碰到这个问题,你的第一个...
  • yi_zz
  • yi_zz
  • 2012年05月08日 10:30
  • 1956

HDFS多用户管理ACL机制other权限访问控制的理解

非Master服务器用户也能通过客户端远程访问Hadoop 现象:在Hadoop集群多用户管理实践中发现,客户端用非Master服务器配置的用户连接Master,也通用具备对指定目录的操作权限。比如...

J2SE理解之一:声明和访问控制

Java的声明元素主要包括类(包括抽象类),接口,数组,异常和枚举类型的声明。其中各个部分又包含如下的各种基本元素:     类(包括抽象类):属性声明,构造方法声明,方法声明,变量(注:这里的变量...

实验5基本访问控制列表

  • 2015年05月26日 14:21
  • 900KB
  • 下载

访问控制过滤器(Access Control Filter)

访问控制过滤器是检查当前用户是否能执行访问的controller action的初步授权模式。 这种授权模式基于用户名,客户IP地址和访问类型。 访问控制过滤器,适用于简单的验证。 ...
  • anlukun
  • anlukun
  • 2013年04月30日 11:31
  • 1662
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:对访问控制中"最小特权原则"的理解
举报原因:
原因补充:

(最多只允许输入30个字)