复习
Session攻击,攻击者可以让session不失效,可以窃取用户会话,进行攻击。
单点登录,实现机制就是我在一个子系统登录后,可以只登录一次,去访问其他子系统的webapp。流程是SSO系统(专门用于登录的系统),比如不是登录态,用户登录页面会跳转到SSO系统的页面,登录成功后生成一个凭证,当用户访问其他子系统是,用凭证就无需登录了,但是子系统要重新验证凭证。防止篡改。
文章目录
一、访问控制
授权和认证中,用户可以访问哪些页面是授权的问题,普通用户可以访问admin的页面就是出现越权问题。
访问控制,限制主体对客体的访问。主体可以是浏览器的客户端。客体可以是一个主页和主页下的资源。读取和修改是操作。对一个服务器来说,服务器的端口(http,https,mysql)电脑访问服务器的服务。发起请求的电脑是主体。可以通过防火墙来控制恶意请求。会有一个访问控制列表,规定哪些ip可以访问和不可以访问。
linux中有些文件时只读的,或者可写的,针对某个用户组,设置可读可写的权限。
1.三个要素
主体(动作发起者) 客体(被访问的资源的实体) 控制策略(主体对客体访问的规则集合)
对于web应用也有访问控制,
1.基于角色的访问控制(用的比较多RBAC)
不同角色有不同的权限,控制可以访问的资源。在系统中设置权限(比如创建,修改,删除,查看&#