1、權限控制(訪問控制):某個主體對某個客體需要實施某種操作,系統對這種操作的限制即權限控制;
如網絡中的ACL、OS中的文件訪問控制、web應用的訪問控制等
常見的web應用訪問控制:
1)基於URL
2)基於方法(method)
3)基於數據
2、垂直權限管理
訪問控制的實質:建立用戶與權限之間的對應關係;
基於角色的訪問控制Role-Based Access Control(RBAC):角色是一些列權限的集合,系統用戶會被分配不同的角色,一個用戶可以擁有多個角色,驗證用戶權限只需要驗證其角色即可。
3、水平權限管理
基於數據的訪問控制,一個簡單的數據級訪問控制,可以考慮使用“用戶組”的概念,比如一個用戶組的數據只屬於該組內的成員,只有同一用戶組的成員才能實現對這些數據的操作。
個人總結:垂直權限管理解決用戶訪問哪些頁面問題,水平權限管理解決用戶訪問同一頁面下的不同數據的問題。
4、OAuth
OAuth源於OpenID,OpenID解決認證問題,OAuth注重授權。
OAuth涉及三個角色:
consumer 消費方(client)
service provider 服務提供方(server)
user 用戶(resource owner)