继承访问控制条目或complet访问控制列表(ACL)?

时间:2010-02-12 16:22:47

标签: security inheritance acl

我想知道是否应继承完整的ACL或仅继承其访问控制项(ACE)。

如果孩子们替换整个ACL会很简单,但是如果只添加一个额外的ACE则会有限制。

如果可以继承ACE,我认为我需要否定权利,因为否则将累积从根ACL开始的所有权利。对?

ACE继承和否定权利会增加很多灵活性,但也可能导致难以理解的安全限制。我一方面要避免消极的权利,另一方面,由于缺少系统(通过其他不必要的ACL重复),系统可能变得难以维护。

那该怎么办?仅继承完整的ACL或继承ACE?是否添加否定权限?

临时解决方案:由于没有人有想法,我决定在访问控制输入的基础上使用继承。执行此操作不需要否定权限,但我将实现它们以实现更高的灵活性。

0 个答案:

没有答案