作者:禅与计算机程序设计艺术
1.简介
1.背景介绍
“Web”是一个快速发展的计算机网络领域,具有高度可扩展性、动态性和开放性等特点。在互联网的快速发展过程中,对数据的保护已经成为网络运营者们面临的重大课题。越来越多的公司、组织和个人都开始将重点放在保护网络中的重要数据上,以期望更加透明、安全地运营网络。而对于每一个Web应用来说,保护数据的关键也就不言自明了——无论是密码保护还是其他形式的访问控制。近年来,随着信息技术的进步和普及,Web应用的数据安全已经成为信息安全领域研究的热点。
当前,应用级(Application-Level)的访问控制主要采用规则式或元数据驱动的方法实现。这种方法虽然能够保证数据整体安全,但其复杂性高、管理困难,而且往往存在一些误用和漏洞。因此,基于访问控制的新模式应运而生,比如基于用户属性的访问控制、认证与授权代理服务等。这些模式将传统规则引擎中用到的“白名单”和“黑名单”等概念扩展到更大的范围,并对更多维度进行访问控制。
在本文中,作者将介绍基于应用程序的访问控制技术,它基于特定应用程序的需求和环境,利用各种手段强化系统的安全性。在介绍完相关的背景之后,将详细阐述其基本概念和术语,并给出一种使用规则引擎进行访问控制的工作流。最后,还会讨论一些关于基于应用程序的访问控制的问题以及未来的发展方向。
2.基本概念术语说明
2.1 Web应用
WEB应用(Web Application),又称Web网站,是在网络上为用户提供某种信息和服务的软件系统。典型的Web应用包括:电子商务网站、企业资源管理系统(ERP)