请选择 进入手机版 | 继续访问电脑版

专注代码检测 - 阅镜

 找回密码
 立即注册
热搜: 安装 代码
查看: 119|回复: 0

权限管理

[复制链接]

70

主题

70

帖子

232

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
232
发表于 2021-9-12 14:48:46 | 显示全部楼层 |阅读模式

【必须】默认鉴权
除非资源完全可对外开放,否则系统默认进行身份认证(使用白名单的方式放开不需要认证的接口或页面)。

【必须】授权遵循最小权限原则
程序默认用户应不具备任何操作权限。

【必须】避免越权访问
  1. 对于非公共操作,应当校验当前访问账号进行操作权限(常见于CMS)和数据权限校验。
  2. 验证当前用户的登录态;
  3. 从可信结构中获取经过校验的当前请求账号的身份信息(如:session),禁止从用户请求参数或Cookie中获取外部传入不可信用户身份直接进行查询;
  4. 校验当前用户是否具备该操作权限;
  5. 校验当前用户是否具备所操作数据的权限;
  6. 校验当前操作是否账户是否预期账户。
复制代码


【建议】及时清理不需要的权限
程序应定期清理非必需用户的权限。
回复

使用道具 举报

高级模式
B Color Image Link Quote Code Smilies |上传

本版积分规则

QQ|Archiver|手机版|小黑屋| 阅镜 ( 京ICP备2020034574号 )|网站地图|网站地图点击这里给我发消息

GMT+8, 2022-1-17 09:29 , Processed in 0.078315 second(s), 20 queries .

Powered by Discuz! X3.4

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表