Quali sono i diversi modi per eseguire l'autorizzazione in un'applicazione Web diversa dall'autorizzazione basata sui ruoli?

5

L'approccio più comune utilizzato per l'autorizzazione che conosco è l'autorizzazione basata sui ruoli. Invece di memorizzare direttamente i diritti di accesso contro gli ID utente, si creano ruoli e si memorizzano i diritti di accesso contro di essi. Quindi assegna agli utenti i ruoli.

Anche se trovo il metodo basato sul ruolo abbastanza flessibile e facile da mantenere, sono comunque interessato a sapere se esistono metodi migliori per la memorizzazione dei dettagli dell'autorizzazione.

Sto utilizzando Spring Security per la protezione delle applicazioni Web JSF. Insieme alle soluzioni per Spring Security apprezzerei anche le soluzioni generali (non specifiche per un particolare framework di sicurezza).

    
posta someperson 05.07.2011 - 14:45
fonte

2 risposte

4

C'è Controllo dell'accesso basato sul contesto .

Al contrario del semplice RBAC, CBAC analizza anche il contesto della situazione.

Un esempio di sito web che utilizza è safaribooksonline.com, che gli studenti di solito possono accedere senza identificazione dalla rete della loro università ma non da casa, anche se in entrambi gli scenari sono nel ruolo di "visitatore non identificato".

    
risposta data 04.08.2011 - 17:08
fonte
-3

I ruoli sono probabilmente i più comuni. Assicurati di non utilizzare i ruoli di sicurezza per altri scopi nella tua applicazione. Ad esempio, se si desidera un elenco di gestori e si dispone di un ruolo di sicurezza del responsabile, non utilizzarlo. È possibile dividere questo gruppo per motivi di sicurezza, ma è comunque necessario che tutti vengano identificati come manager nell'applicazione.

    
risposta data 05.07.2011 - 14:50
fonte

Leggi altre domande sui tag