一、引子
在专栏开篇作中我有提到数据安全架构中的5A概念,5A概念中的其中一个A是授权,因此,本篇我们来聊聊授权相关的东西。
授权的概念:向通过身份认证的主体(用户/应用等)授予或拒绝访问客体(数据/资源等)的特定权限。比如员工默认只能查询自己的薪酬数据,但指定级别以上的主管人员有权查询管辖范围内员工的薪酬数据。
二、授权的原则与方式
从安全意义上,默认权限越小越好(甚至没有任何权限),满足基本的需要即可。例如,在隐私保护越来越重要的今天,用户的个人信息应默认只能用户自己访问等等。授权一般有五种模式,分别是基于属性的授权、基于角色的授权、基于任务的授权、基于ACL的授权、动态授权。
2.1、基于属性的授权
基于属性的授权,是在规则明确的情况下,应用系统可以不用建立授权表,只将这种规则纳入访问控制模块即可,通过比对属性(或规则),比如是否为资源的所有者、责任人,来决定是否放行。
例如:
● 用户有权查询、修改、删除自己的个人信息,但用户无权查询、修改、删除其他用户的个人信息。
● 允许用户的好友查看其发表的内容,拒绝非好友的访问。
● 设备的负责人有权对自己名下的设备进行
最低0.47元/天 解锁文章
扫一扫
3451
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
