访问控制

        “权限”一词在安全领域出现的频率很高。“权限”实际上是一种“能力”。对于权限的合理分配，一直是安全设计中的核心问题。但“权限”一词的中文含义过于广泛，因此本节中将使用“访问控制”代替。在互联网安全领域，尤其是Web安全领域中，“权限控制”的问题都可以归结为“访问控制”的问题，这种描述也更精确一些。

        在Linux的文件系统中，将权限分成了“读”、“写”、“执行”三种能力。用户可能对某个文件拥有“读”的权限，但却没有“写”的权限。

        在Web应用中，根据访问客体的不同，常见的访问控制可以分为“基于URL的访问控制”和“基于数据的访问控制”。

        一般来说，“基于URL的访问控制”是最常见的。要实现一个简单的“基于URL的访问控制”，在基于Java的Web应用中，可以通过增加一个filter实现。

//获取访问功能
String url = request.getRequestPath();
//进行权限校验
User user = request.getSession.get("user");
//校验该用户是否有权限访问目标url
boolean permit = PrivilegeManager.permit(user,url);
if(permit){
    chain.doFilter(request,response);
}else{
    //未授权提示
}

1、垂直权限（功能权限）

基于URL的访问控制的漏洞和防护。

        访问控制实际上是建立用户与权限之间的对应关系，现在应用广泛的一种方法，就是“基于角色的访问控制（Role-Based Access Control）”，简称RBAC，最终的表现形式就是某一个用户可以访问哪些URL。 

        RBAC事先会在系统中定义出不同的角色，不同的角色拥有不同的权限，一个角色实际上就是一个权限的集合。而系统的所有用户都会被分配到不同的角色中，一个用户可能拥有多个角色，角色之间有高低之分（权限高低）。在系统验证权限时，只需要验证用户所属的角色，然后就可以根据该角色所拥有的权限进行授权了。 

        例如: 在一个论坛中，有admin、普通用户、匿名用户三种角色，admin有删除、编辑、置顶帖子的权限，普通用户有评论和浏览帖子的权限，匿名用户只有浏览帖子的权限。目前已有 Shiro，Spring Security 等基于 RBAC 模型的成熟框架来处理功能权限管理和鉴权的问题。

垂直权限又称为功能权限

垂直权限的漏洞举例：

        Web应用程序在服务端没有做权限控制，只是在前端菜单显示上将部分页面隐藏了。此时，恶意用户可以猜测其他管理页面的 URL，就可以访问或控制其他角色拥有的数据或页面，达到越权操作的目的，可能会使得普通用户拥有了管理员的权限。

        垂直权限漏洞是指Web应用没有做权限控制，或仅仅在菜单上做了权限控制，导致恶意用户只要猜到了其他页面的URL，就可以访问或控制其他角色拥有的数据或页面，达到权限提升的目的。

解决方案：

        针对任何URL，每次用户访问时，都要判定该用户是否有访问此 URL 的权限。推荐使用成熟的权限解决方案框架，比如Spring Security。

2、水平权限（数据权限）

基于数据的访问控制

        同一部门下的用户张三和李四都有访问线索管理的权限，但是张三只能操作张三线索，李四只能操作李四的线索

        用户A和用户B可能同属于一个角色 RoleX，但用户 A 和用户 B 都各自有一些私有数据，正常情况下，用户自己只能访问自己的私有数据，例如：你有删除邮件的功能（操作权限），但只能删除自己的邮件，不能误删其他人的邮件（数据权限）。但在 RBAC 模型下，系统只会验证用户A是否属于角色 RoleX，而不会判断用户A是否能访问只属于用户B的数据 DataB，此时就可能发生越权访问。

        这种问题，称之为『水平权限管理问题』，又可以称之为『基于数据的访问控制』：相比垂直权限管理来说，水平权限问题出现在同一个角色上，系统只验证了能访问数据的角色，没有对数据的子集做细分，因此缺乏了一个用户到数据级之间的对应关系。对于数据的访问控制，与业务结合的比较紧密，目前还没有统一的数据级权限管理框架，一般是具体问题具体解决。

        数据权限就是控制访问数据的可见范围，表现形式是：当某用户有操作权限时候，不代表对所有数据都有查看或管理的权限。一般表现为行权限和列权限

1. 行权限：限制用户对某些行的访问，例如：只能对某人、某部门的数据进行访问；也可以是根据数据的范围进行限制，例如：按合同额大小限制用户对数据的访问
2. 列权限：限制用户对某些列的访问，例如：某些内容的摘要可以被查阅，但详细内容只有 VIP 用户能查阅

水平权限的漏洞案例：

        Web应用程序接受用户的请求，修改某条数据时，而没有判断当前用户是否可以访问该条记录（判断数据的所属人），导致恶意用户可以修改本不属于自己的数据。例如： /api/v1/blog?blogId=xxx [DELETE] 这是删除博客内容的url，当用户改变 blogId 时，后端如果未校验博客的所属人是否是当前用户，则可以删除其他人的博客内容。

解决方案：

        根据用户的ID做好数据级权限控制，比如针对CRUD操作进行会话身份验证，并且对用户访问的对象记录校验数据权限进行校验，防止通过修改ID的方式越权查看别人的隐私信息（按业务场景）。

        访问控制与业务需求需求息息相关，并非是一个单纯的安全问题。因此在解决此类问题或者设计权限控制方案时，要重视业务的意见。最后，无论选择哪种访问控制方式，在设计方案时都应该满足“最小权限原则”，这是权限管理的黄金法则。