权限控制设计

最新推荐文章于 2020-01-06 17:15:14 发布
最新推荐文章于 2020-01-06 17:15:14 发布
阅读量740 收藏
点赞数
分类专栏: 技术 文章标签: 权限控制 ACL 操作系统 云安全 infoq
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xmlidea/article/details/40455195
版权

简介

今天下午参加了InfoQ举行的关于云安全的讨论会。杨孟哲分享了云平台安全访问控制的设计和实现,我觉得蛮实用。总结如下:

ACL模式

ACL是Access Control List的缩写。这是最常见的权限控制的方式。在Windows和Linux操作系统设计都有用到。它是以被访问者为中心,比如,某个文件或者某个数据库表。

 

File A

Table B

Alice

RW

R

Bob

 

W

 

在系统中保存:

File A: Alice有读写权限; (Bob没有在权限列表中,所以无权限)

Table B: Alice有读权限;Bob有写权限

用户访问的时候,系统会检查权限列表,看用户是否能执行相关操作。

Capability模式

这是我第一次听说这种模式。

解释这种模式的最好方式是使用火车票系统。火车站根据火车车次卖票;乘客到火车站买票;买了火车票的乘客凭票上车。乘客就是访问者;火车上的座位是被访问者;哪位乘客可以进站坐哪个座位由票来决定。

这种模式是在被访问者上设计可执行的操作(坐火车上的座位)。由一个程序来生成访问权限(铁道部印制火车票),颁发给访问者(乘客)。 访问者持访问权限执行某项操作,是否能执行程序根据访问者持有的访问权限(票)来决定是否允许执行。

Alice

File A: RW

Table B:R

Bob

 

Table B:W

 

Alice持有的票表明对File A有读写权限;对Table B有读权限。

Bob持有的票表明对Table B有写权限。(对File A无权限)。

这种模式要求程序能够生成不能/很难被仿制的票和能够检测票真伪的程序。

两种模式的对比

 

 

附录

此文参考了以下信息

1.      http://bbs.aliyun.com/read/180372.html

大龙谈智能内容
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
帆软报表数据权限控制设计文档
05-17
帆软报表详细设计,跨境电商数据权限控制,有详细的存储过程,权限控制方案
安全加密 - Android (linux) 权限管理 MAC
迟来大师的博客
12-10 428
linux下有多种权限控制的机制, 常见的如:DAC(Discretionary Access Control)自主式权限控制和MAC(Mandatory Access Control)强制访问控制。 DAC 即 Discretionary Access control, 自主访问控制, 即系统只提供基本的验证, 完整的访问控制由开发者自己控制。 MAC 即 Mandatory Access control, 强制性访问控制, 即系统针对每一项访问都进行严格的限制, 具体的限制策略由开发者给出. .
计算机系统安全2018【3】第五章:自主访问控制和强制访问控制比较
清凌的博客
01-24 8785
第5章 1、 理解和解释自主访问控制和强制访问控制,举例说明其含义。 自主访问(DAC)控制是依据主体的判断力授予访问权限,通常由客体的拥有者授权。应用于 UNIX, Windows系统。 强制访问控制 (MAC) 按照系统级策略限制主体对客体的访问。用户所创建的资源,也拒绝用户的完全控制。系统的安全策略完全取决于权限权限由管理员设置。 2、比较ACL和能力表的差异 从静态角度比较ACL和cap...
哈工大 计算机系统安全 复习整理 作业答案
qq_39600733的博客
01-06 4143
第一章 安全目标: 机密性:授权用户具有读权限 机密性就是不被别人看到: BLP、DG/UX 完整性:仅被授权实体可按所授权限进行修改 完整性就是不能被别人修改:Biba、CW 可用性:仅被授权实体可以访问 防御方法: 防止 阻碍 震慑,制止 偏斜,偏差 检测 恢复 安全原则: ...
安全编程-权限控制
王浩的技术博客
11-27 2043
目前几乎在任何系统中都会有权限管理。权限管理一般指根据系统设置的安全规则或者安全策略,用户可以访问而且只能访问自己被授权的资源。 一般在权限控制中包含3个方面: 主体,是一个主动地实体,它可以提出对一些资源或者数据的访问请求,主体可以是能够访问信息的用户或进程。客体,是含有被访问信息的被动实体,客体可以是计算机、数据库、文件、目录等。安全规则,是一套规定主体是否可以访问客体的规则。访问
前后端分离做权限控制设计.docx
07-03
根据前端路由表显示左侧菜单,但vue-...这些都需要写到前端路由里面,一旦有任何权限变动就要大量调整代码。 如果权限写死在前端,那么角色或者用户必须已知且固定不变。比如页面1的meta增加属性标识可访问的角色为a和b
基于Yii2和ExtJs的RBAC权限控制设计源码
最新发布
04-12
本Yii2 ExtJs5 RBAC项目基于PHP开发,包含83个文件,包括PHP源代码、PNG图片、Markdown文档、SQL脚本、GIT忽略...系统实现了Yii2框架下的ExtJs5前端界面和RBAC权限控制功能,界面友好,功能完善,适合用于权限管理。
角色-用户-权限控制设计与实现
04-16
重点阐述在基于.NET开发的客户关系管理CRM示例系统中设计并实施的一套高透明度、细粒度的角色-用户-权限控制方案。该方案不依赖于具体的实施平台,也不会对架构产生限制。使用XML文件记录角色与页面的映射关系,需要...
权限控制与安全管理设计文档
03-28
权限控制与安全管理
用户权限设置5张表
热门推荐
JesseCary的博客
01-04 1万+
--权限表(资源和权限合并) CREATE TABLE sys_permission (   id number(20) PRIMARY KEY NOT NULL,-- COMMENT '主键',   name varchar2(128) NOT NULL ,     --COMMENT '资源名称',   type varchar2(32) NOT NULL,      -- COMME
ACL 详解
我的求学日记
05-20 7718
<br />http://www.suse.de/~agruen/acl/linux-acls/online/<br /> <br /> <br />POSIX Access Control Lists on Linux<br />Andreas Grünbacher SuSE Labs, SuSE Linux AG Nuremberg, Germany [email protected]<br /> Abstract:This paper discusses file system Access Control
如何解决安装Ubuntu 12.04后屏幕闪烁的问题
大龙谈智能内容
02-17 6408
问题: 安装Ubuntu 12.04以后,屏幕过几秒钟闪一次。   解决办法: 原因是因为显示驱动没有安装。 请运行一下命令:   sudo add-apt-repository ppa:bumblebee/stable   sudo apt-get update   sudo apt-get install bumblebee bumblebee-nvidia   sud
将Android和iOS设备屏幕映射到电脑屏幕工具
大龙谈智能内容
02-23 5692
http://www.mobizen.com/en/ http://www.airsquirrels.com/reflector/
新浪微博实验碰到的问题总结和解决办法(Java)
大龙谈智能内容
10-11 3426
1. 运行代码出现error:redirect_uri_mismatch 运行新浪提供的Java示例出现此错误: 问题: 此错误表示在本地config.properties里填写的redirect_URI与微博开放平台上应用的设置不一致。 解决办法: 登录微博开放平台http://open.weibo.com,然后点击:我的应用 -> {应用名字} -> 应用信息 -
H2数据库简介及在Web程序中运行的数据库中支持ODBC连接
大龙谈智能内容
10-21 2635
简介 H2(http://www.h2database.com)数据库是一个使用纯Java编写的、内嵌模式和客户服务器模式的内存数据库。H2十分适合作为嵌入式数据库使用。比如:手机应用程序。 运行模式 在H2数据库服务器支持以下运行模式: 1.      嵌入模式 这种模式下,数据库和程序运行在同一个进程中。访问数据库不需要经过网络。 2.      客户/服务器模式 这是传统的
在Ubuntu中怎样查看任务
大龙谈智能内容
02-19 1925
1. 在命令行中运行top命令。系统回以字符方式显示系统进程,资源使用情况。 2.使用System Monitor程序,以图形方式查看系统进程,资源使用情况。(类似于Windows下的任务管理器)
使用程序自动生成ODBC数据源
大龙谈智能内容
09-29 1509
/** * 生成ODBC数据源 * @param sServer  [IN]数据库服务器名 * @param sDBName  [IN]数据库名 */bool CQQMiserApp::CreateSqlDSN(char * sServer,char * sDBName){ char   *szDriver = "SQL Server"; char   szAttributes[300],*p; 
JavaScript 小贴士
大龙谈智能内容
09-20 1218
Web开发中关于Form提交的问题的总结在Form中,type为submit的按钮会进行数据提交,一般按钮不会提交.而type为image的图形按钮会进行数据提交.其他情况都要使用JavaScript调用Form的Submit函数才能提交.测试代码: fmLoginfunction update(){ Form1.submit();}-->         使用div,使网页中某些信息显示在屏幕的
java小程序权限控制设计
07-27
下面是一个简单的权限控制设计示例: 1. 定义角色和权限:首先,你需要定义系统中的角色和相应的权限。例如,角色可以是管理员、普通用户等,权限可以是查看、编辑、删除等。 2. 用户管理:实现一个用户管理系统,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值