前一段时间,Facebook推出了一项功能,可帮助设置个人资料的权限:以其他人身份查看。它允许动态页面的作者查看哪些用户组(或特定用户)可以查看页面中的哪些信息,从而调试权限。 LinkedIn中存在类似的功能
现代应用程序(尤其是B2B)可能具有更复杂的权限设置。因此这种工具更有用。但据我所知,这个功能并不是很广泛。我想知道可能有什么缺点,或者在我为自己的项目考虑它之前是否有任何RFC和最佳实践文章。
答案 0 :(得分:0)
当然,这被称为" RunAs","模仿"," sudo" ...
它内置于Spring Security:http://docs.spring.io/spring-security/site/docs/4.0.4.RELEASE/reference/htmlsingle/#runasmanager
它也内置于大多数数据库服务器中:
https://msdn.microsoft.com/en-us/library/ms181362.aspx
为安全应用程序添加任何复杂性使其更容易受到攻击。