我的web系统权限设计
来源:互联网 发布:网络语9999是什么意思 编辑:程序博客网 时间:2024/05/23 19:20
普遍认为web系统开发难度要小于C/S的系统,但事实上,并非如此。真正优良的web系统也需要花很大的力气去把控安全问题。很多系统只注重了业务实现而忽略了安全问题,也有很多系统把安全问题用其他的方法在html页面上用js做了一次转变,比如:X几系统,而事实上,这样的转变,不论是把参数加密或者是带一个操作验证码,其算法都公然在js当中,我们只需要调用相同的js生成相同的操作验证码就可以用相同的url操作别人的数据。当然,这些系统的唯一症结在于权限判断部分的设计,普遍的把权限设计为了操作url就是权限项的模式,而殊不知相同的url可以操作不同人、不同组、不同机构的数据。
在web系统权限设计当中,其实,无论是window或者是linux都给了我们权限控制上的一个很好的例子:用户可以分配权限,而文件资源可以设置为自己可操作、同组可操作、其他人可操作。
所以,在一个可靠性比较高的web系统中,权限管理的设计,应当是:同一个url可以设置为可以操作自己的、可以操作同组的、可以操作下级组的、可以操作上级组的、可以强制操作不允许操作的,而对于资源应当设计为自己可以读取、自己可以修改、自己可以删除、同组可以读取、同组可以修改、同组可以删除、上级组可以读取、上级组可以修改、上级组可以删除、下级组可以读取、下级组可以修改、下级组可以删除。这样的一个文档系统中,安全性才能有更高的保障。
仅供借鉴。
1 0
- 我的web系统权限设计
- web 系统的权限设计
- 我的权限系统设计实现MVC4 + WebAPI + EasyUI + Knockout(五)框架及Web项目的组件化
- 基于web信息管理系统的权限设计分析和总结
- Web OA系统 - 权限管理设计
- 中小型WEB系统权限日志数据表设计
- 我眼中的权限系统
- 关于权限系统的设计
- MIS系统的权限设计
- 通用系统的权限设计
- 权限系统的实体设计
- 闲话权限系统的设计
- 系统权限的设计之简单设计
- 我的权限系统设计实现MVC4 + WebAPI + EasyUI + Knockout(一)
- 我的权限系统设计实现MVC4 + WebAPI + EasyUI + Knockout(二)菜单导航
- 我的权限系统设计实现MVC4 + WebAPI + EasyUI + Knockout(一)
- 我的权限系统设计实现MVC4 + WebAPI + EasyUI + Knockout(二)菜单导航
- 我的权限系统设计实现MVC4 + WebAPI + EasyUI + Knockout(三)图形化机构树
- JavaScript 对象 实例
- web java开发流程
- C语言资料
- 圆弧百分比
- UVa 10891 (区间DP)
- 我的web系统权限设计
- 国外期刊投稿、审稿过程以及常用术语
- 有弹性的scollview
- (NO.00004)iOS实现打砖块游戏(一):素材的制作
- 不滑动的viewpage
- Elasticsearch分片控制
- 【LEETCODE】169-Majority Element
- 限时代码
- Android 之 json数据的解析