目录
1、权限与授权
权限控制,或者说访问控制,指的是当用户需要执行某个操作时,系统对这种操作的权限限制就是权限控制。
在网络中,一般是通过路由设备或者防火墙建立基于IP的访问控制。
在操作系统中,对于文件也有访问控制,如在Linux中,就可以用r、w、x表示对文件的读、写、执行三种操作,这三种操作同时对应着三种主体:文件拥有者、文件拥有者所在的用户组、其他用户。
在Web应用中,常见的访问控制可以分为“基于URL的访问控制”、“基于方法的访问控制”和“基于数据的访问控制”。
通常网页的未授权访问只是把需要保护的页面“藏”起来,但只要攻击者构造出正确的URL就可以访问到这些页面,通过对后台路径的字典的爆破,很容易得到URL路径。比如管理员页面的URL经常包含admin这样的敏感词汇。
2、垂直权限管理
访问控制实际上是建立用户与权限之间的对应关系,这种基于角色的访问控制,简称RBAC。
RBAC事先在系统中定义出不同的角色,不同角色有不同权限,一个用户可能拥有多个角色,角色之间有高低之分,在系统验证权限时,只需要验证用户所属的角色,再根据角色的权限进行授权。
这种基于角色的权限管理,我们称为“垂直权限管理”。
比如一个普通用户通过某些方法获得了管理员的权限,则发生了垂直越权访问。
3、水平权限管理
通过某种方法可以获得其他同等级用户的权限,称为水平权限越权。
例如用户可通过修改下面地址中的id就可以查看他人的来往信件、查看和修改他人的专辑信息。(优酷网用户越权访问)
在RBAC这种“基于角色的访问控制”的模型下,系统只会验证用户A是否属于角色RoleX,而不会判断用户A是否只能访问只属于用户B的数据DataB,因此,发生了越权访问,这种问题我们就称为“水平权限管理问题”
相对于垂直权限管理来说,水平权限问题出在同一个角色上。系统只验证了能访问数据的角色,既没有对角色内的用户做细分,也没有对数据的子集做细分,因此缺乏一个用户到数据之间的对应关系。由于水平权限管理是系统缺乏一个数据级的访问控制所造成的,因此水平权限管理又可以称为“基于数据的访问控制”。
4、OAuth
OAuth是一个在不提供用户名和密码的情况下,授权第三方应用访问Web资源的安全协议。
OAuth和OpenID都致力于让互联网更加的开放。OpenID解决认证问题,OAuth则更注重授权。
比如在人人网上想要导入MSN里的好友,如果没有OAuth,则需要在人人网上登录MSN,人人网则会掌握用户的MSN的账户和密码。
而使用OAuth使得用户在不需要向人人网提供MSN用户名和密码的情况下仍可以导入MSN好友名单。
在OAuth中,有3个角色:Client消费方、Server服务提供方、Resource Owner用户。在上面的例子中,Client是人人网,Server是MSN,Resource Owner是用户。
下图是新浪微博OAuth的授权过程。
665
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
