安全性测试之认证授权

在web安全中，认证授权又是每个人都熟知的，就像我们都应该设置一个高强度的密码，以免被猜测破解，实际上还包括更多内容。
 
1. 权限
在很多系统如CRM，ERP，OA中都有权限管理，其中的目的一个是为了管理公司内部人员的权限，另外一个就是避免人人都有权限而帐号泄漏后会对公司带来的负面影响。
 
权限一般分为2种：访问权限和操作权限。访问权限即是某个页面的权限，对于特定的一些页面只有特定的人员才能访问。而操作权限指的是页面中具体到某个行为，肉眼能看到的可能就是一个审核按钮或提交按钮。我之前接触过的一个SAAS平台的CRM系统就用到了访问权限和操作权限两种，而现在公司后台管理都是访问权限，当然访问权限实施起来更加方便快捷，也容易维护。
 
权限的处理方式可以分为2种：用户权限和组权限。设置多个组，不同的组设置不同的权限，而用户设置到不同的组中，那就继承了组的权限，这种方式就是组权限管理，一般都是使用这种方式管理。而用户权限管理则比较简单，对每个用户设置权限，而不是拉入某个组里面，但是灵活性不够强，用户多的时候就比较费劲了，每次都要设置很久的权限，而一部分用户权限是有共性的，所以组权限都是目前很通用的处理方式。
 
在权限方面，还包括了数据库的权限，网站管理的权限以及API/Service的权限。
DBA都需要控制好IDC的数据库权限，而不是将用户权限设置为*.*，需要建立专门供应用程序使用的帐号，并且需要对不同的数据库和不同