3.4 访问控制实现

文档摘要

3.4 访问控制实现 3.4 访问控制实现在 Web 安全防护体系中，访问控制（Access Control）是至关重要的一环。它承接在用户身份验证（Authentication）之后，核心目标是确保经过验证的用户只能访问其被授权的资源和执行被允许的操作。简单来说，身份验证解决的是“你是谁”的问题，而访问控制解决的是“你被允许做什么”的问题。本章节将深入探讨访问控制的常见实现模型、关键原则、技术细节以及相关的安全风险。 3.4.1 访问控制的核心概念在探讨实现之前，需要明确几个与访问控制紧密相关的概念：主体（Subject）：发起访问请求的实体，通常是用户、用户组或系统进程。客体（Object/Resource）：被访问的资源，可以是文件、数据记录、功能接口、URL路径等。