基于数据的访问控制

基于角色的访问控制，只验证访问数据的角色，但是没有对角色内的用户做细分。举个例子，用户甲与用户乙都具有用一个角色，但是如果只建立基于角色的访问控制，那么用户甲可以对用户乙的数据进行任意操作，从而发生了越权访问。因此，在业务场景中仅仅使用基于角色的访问控制是不够的，还需要引入基于数据的访问控制。如果将基于角色的访问控制视为一种垂直权限控制，那么，基于数据的访问控制就是一种水平权限控制。在业务场景中，往往对基于数据的访问控制不够重视，举个例子，评论功能是一个非常常见的功能，用户可以在客户端发起评论，回复评论，查看评论，删除评论等操作。一般情况下，只有本人才可以删除自己的评论，如果此时，业务层面没有建立数据的访问控制，那么用户甲可以试图绕过客户端，通过调用服务端RESTful API 接口，猜测评论 ID 并修改评论 ID 就可以删除别人的评论。事实上，这是非常严重的越权操作。除此之外，用户之间往往也存在一些私有的数据，而这些私有的数据在正常情况下，只有用户自己才能访问。

基于数据的访问控制，需要业务层面去处理，但是这个也是最为经常遗落的安全点，需要引起重视。这里，再次使用删除评论的案例，通过 Java 语言进行介绍。在这个案例中，核心的代码片段在于，判断当前用户是否是评论的创建者，如果是则通过，不是则报出没有权限的错误码。那么，这样就可以很好地防止数据的越权操作。

@RestController@RequestMapping(value = {"/v1/c/apps"})public class AppCommentController{    @Autowired    private AppCommentService appCommentService;@RequestMapping(value = "/{appId:\\d+}/comments/{commentId:\\d+}", method = RequestMethod.DELETE)public void deleteAppCommentInfo(@PathVariable Long appId,     @PathVariable Long commentId,        @AuthenticationPrincipal UserInfo userInfo) {        AppComment appComment = this.appCommentService.checkCommentInfo(commentId);// 判断当前用户是否是评论的创建者，如果是则通过，不是则报出没有权限的错误码。        if(!appComment.getUserId().equals(Long.valueOf(userInfo.getUserId()))){            throw new BusinessException(ErrorCode.ACCESS_DENIED);        }        this.appCommentService.delete(commentId);    }}

总结下，基于角色的访问控制是一种垂直权限控制，通过建立用户与角色的对应关系，使得不同角色之间具有高低之分。用户根据拥有的角色进行操作与资源访问。基于数据的访问控制是一种水平权限控制，它对角色内的用户做细分，确保用户的数据不能越权操作。基于数据的访问控制，需要业务层面去处理，但是这个也是最为经常遗落的安全点，需要引起重视。

更多相关文章

随机推荐