我听说大多数网站都使用临时安全性。 如何在代码中指定和实施安全策略? 例如,只有鲍勃的朋友可以看到他的电子邮件地址。 如果策略在整个代码中交织在一起,那么它们如何管理它,因为它容易出错。 我已经开始为Web应用程序开发信息流控制包,只是对大公司使用的内容感到好奇吗?
答案 0 :(得分:0)
注意:此问题最适合Security Stack Exchange网站。
一般来说,软件开发公司 - 不仅仅是网站 - 使用代码(Java,C#......你的名字)开发自己的授权逻辑。
有少数公司/团队将其业务逻辑与授权逻辑分离。这样做称为外化授权。与此相关的字段称为外部授权。
外化授权有几个好处:
有几种方法可以实现外部授权。以下是一些例子:
所有这些方法都特定于一种语言。一些例如CanCan是基于政策的。其他人使用基于角色的方法。
理想情况下,所有公司和网站都会使用基于政策的技术中立方法。实际上有一个关于这种“事物”的标准。它被称为ABAC(基于属性的访问控制),它使用以XACML编写的策略来表达访问控制逻辑。
很酷的是,您可以主要在Facebook,Yahoo等上重复使用这些政策......