在IT世界里面,所谓的安全指的是保护敏感的,珍贵的资源,3个主要的安全层在IT体系里面分别是网络层,操作系统层和应用层本身。 网络层安全: 当人谈论IT安全的时候,人们主要认为是网络级别的安全,安全使用防火墙。以及使用安全套接字(SSL)去封装所有敏感信息通过网络传输。 操作系统安全:指的是系统环境,操作系统这块的安全。 应用层本身安全:这本书主要集中讲这一块。主要说的是,应用层安全指的是,所有我们构建的条件确保当他们在程序上工作的时候,正确的人做正确的事。应用层安全通过几大技术实现,有很多的理念更好的帮助你理解余下的书,这些主要的理念就是Spring Security 强调保护应用程序免受危险,在下面的几节里面,我将会介绍 Authentication •认证 Authorization • 授权 ACLs•(Access control lists)• 访问控制列表
Authorization • 授权 当一个用户已被授权,这就意味着这个用户已经被系统识别了,但这并不意味着她可以在系统里面做任何她想做的。下面的逻辑步骤就是保证应用程序决定哪个行为用户是可以被允许的,哪些资源她可以访问。如果用户没有合适的权限,她就不能携带特殊的行为。这就是授权流程。在大多数的案例里面,授权流程指的是用户拥有的权限与在系统里面执行特殊的行动的权限相比较。如果匹配,访问被授权,换句话说,如果没有匹配,访问被拒绝,图1-2,显示的是授权机制。
ACLs•(Access control lists)• 访问控制列表 访问控制列表是授权流程的一部分,最关键的差别访问控制列表,工作在应用程序的高级别。访问控制列表是资源,用户,权限的简单集合。通过ACLS,你可以成立规则,就像“用户John 拥有管理员权限在博客 post X”或者 “用户 Luis 拥有读权限在博客 post X' .你可以看到三个元素:用户,权限,和资源,图1-2 显示 ACLs的工作,因为他们作为普通授权的流程的特殊案例。
下一节,请参照地址:http://jingyan.baidu.com/article/bc18d1bcc9ce5e7.html