白帽子讲web安全-访问控制

whoami

权限控制，或者说访问控制，抽象的说，都是某个主体对某个客体需要实施某种操作，而系统对这种操作的限制就是权限控制。

在网络中：为了保护网络资源的安全，一般都是通过路由设备或者防火墙建立基于IP的访问控制。

在操作系统：对文件的访问，采用访问控制列表。

在web应用中：有基于URL的访问控制，基于方法的访问控制，基于数据的访问控制。

垂直权限管理（基于角色的访问控制，包含URL和方法）

访问控制实际是建立用户与权限之间的对应的关系，就是RABC。

spring security就是基于spring mvc框架，这里只关注spring security的授权功能。本质就是验证用户所属的角色，以决定是否授权。

水平权限管理（基于数据的访问控制）

就是同等权限级别的用户之间，发生在同级别之间的越权访问。

一个简单的数据级访问控制，可以考虑使用用户组的概念，比如一个用户组的数据只属于该组的成员，才能实现对数据的操作。

oauth

你的毕业设计，用第三方实现信任问题。

三个URL

Request Token URL: 获取未授权的Request Token服务地址；

User Authorization URL: 获取用户授权的Request Token服务地址；

Access Token URL: 用授权的Request Token换取Access Token的服务地址；

无论使用哪种控制方式，在设计方案时都应该满足最小权限原则。