简析认证加授权如何使API更安全
发布时间:2019-03-07 21:32:11 所属栏目:建站 来源:yuegui_2004
导读:近期在公司推广实施安全开发生命周期流程(SDL),基于目前业务的发展,有很多以API形式提供的数据访问接口,为此专门对所有系统的API接口进行了一次梳理,在梳理过程中发现了部分接口存在的安全隐患,包括未授权访问、数据校验不完整、访问敏感数据等问题。
|
第一种是最常用的基于角色的访问控制模型。每个企业或组织的员工都会根据其业务职责划分成不同的部门或组。那么这些组织内的员工就根据其分组界定其权限。分组信息就可以应用在于应用交互中,根据应用的授权及在应用中设置不同分组的访问规则来限制用户的访问,用户所在分组决定其在应用中的角色权限。轻量级目录访问协议(LDAP)服务正是利用了分组的概念。身份提供者负责从身份存储库中检索分组信息,角色则是应用对访问控制权限的具体定义,用户则可以采用应用定义的多个角色。 基于角色的访问控制是一种非常简单的访问控制机制。应用不需要维护每个用户能访问的数据和功能,只需要通过角色将数据和功能访问权限抽象化,而只需要根据用户的角色分配不同的访问权限。 (编辑:核心网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
