很多web系统都采用了用户-角色-权限项的配置方式,显得功能很强大。但是,往往是这样的系统暴露出的漏洞会很多,比如:同一个url(或者权限项)的删除操作,一旦给某个人赋予了此权限,基本上,这个人就可以完全删除这一类的数据,因为所有这些删除操作的url完全相同,只是参数不同,业务上因为角色的可配置性而无法做任何限制。
而,一个经典的、好的web系统它只包含用户的角色配置,即:可以配置用户是什么角色,但是不能配置哪个角色具有哪些权限。对于哪个角色具有哪些权限这一部分业务逻辑,我们将其固化、写在系统的程序里面。所以,这就要求我们在系统的设计阶段,需要确定的是这个系统都有哪些角色的用户来使用。这样,就完全避免了由于权限项的相同url的验证的漏洞缺陷。
今天,我学习了一个好的web系统,它的设计思想和我的相同,只有用户和角色配置,固化角色的功能权限,或者说功能的可操作范围限定为某几个角色。
这个系统的架构也比较简化和通用,采用了springMVC,mybatis,jquery。页面上采用了jquery-ui和zTree.js,没有上传文件功能,没有任何插件。页面设计简洁明了。
属于小负载系统,没有采用分布式session管理和分布式缓存机制。
Alex.Zhang 北京师范大学
2016.3.4
3286
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
