发帖    主题    评论    推荐    标签    作者    订阅    查搜    注册   登陆   关注
 
面向对象 设计模式 领域驱动设计 企业架构 框架 开发教程 微服务 大数据 扩展性 并发编程 事件驱动 分布式 SOA

设计思考:URL到底表征的是资源还是操作?

2004-12-21 22:33
赞助商链接

在WEB安全管理中,URL常常是访问控制的主要手段.在国内关于安全管理的讨论中,关于URL表征的实际语义不同的设计师有不同的看法.按照RBAC标准,权限系指基于某个特定资源上的特定操作.国内的一些安全系统设计师把权限分为操作权限和数据权限.

实际项目中存在的例子是数据权限(或业务权限)跟功能权限紧密关联.比如:对于仓库管理模块: 允许A B 两个角色具备修改仓库定义的权限,允许A B C三个角色拥有查看仓库信息的权限. 在这里修改和查询是相应的操作权限,具体的仓库我见到的实际项目中将其作为数据权限来处理. 用户能不能达到查询仓库信息的目的往往体现在一个URL对应的访问能不能被允许?

现在的问题是:URL到底是操作还是资源?如果是资源,那么上面例子中的仓库是什么东东? 如果是操作,那么对于一些不需要业务权限控制的功能,这又如何解释?

2004-12-27 16:57

我门是拿来验证操作用的。至于具体的资源权限验证,通过特定的字段或则参数加于区分。

赞助商链接

赞助商链接

返回顶部

移动版 关于本站 使用帮助 联系管理员 最佳分辨率1366x768
OpenSource JIVEJDON Powered by JdonFramework Code © 2002-20 jdon.com