web安全4

二、对于系统的操作员和管理员或CP/SP的URL请求进行鉴权相对复杂,可以参考:
1、通过XML文件,以正则表达式定义各种URL对应的访问控制权限位,请参考:
2、创建系统权限表,根据问控制列表AccessControlList.xml中定义的权限来导入权限数据。
3、在为角色分配权限时,如果角色拥有某权限,则对应的权限位为1,否则为0。如果系统总共有26项权限,则最终得到一个长度26的字符串(由0和1组成)。
4、当操作员和管理员或CP/SP登陆时,根据其对应的角色,得到对应的权限字符串(比如10101100111000011010111001),保存到session对象中。
5、部署过滤器,当操作员和管理员或CP/SP发起任何URL请求时,过滤器根据问控制列表AccessControlList.xml判断该请求对应的权限位,然后与session对象中保存的该用户的权限字符串对应的权限位是否为“1”,如果为“1”则正常处理请求,否则,表明越权,注销该会话,并记录告警日志。
规则3.4.2:授权和用户角色数据必须存放在服务器端,不能存放在客户端,鉴权处理也必须在服务器端完成。
说明:禁止将授权和角色数据存放在客户端中(比如cookie或隐藏域中),以防止被篡改。
规则3.4.3:一个帐号只能拥有必需的角色和必需的权限。一个组只能拥有必需的角色和必需的权限。一个角色只能拥有必需的权限。
说明:做到权限最小化和职责分离(职责分离就是分清帐号角色,系统管理帐号只用于系统管理,审计帐号只用于审计,操作员帐号只用于业务维护操作,普通用户帐号只能使用业务。)这样即使帐号被攻击者盗取,也能把安全损失控制在最小的限度。

你可能感兴趣的:(WEB安全)