前段时间,Facebook 推出了一项帮助设置个人资料权限的功能:以其他人的身份查看。它允许动态页面的作者查看哪些用户组(或特定用户)可以看到页面中的哪些信息,从而调试权限。LinkedIn 中也存在类似的功能
现代应用程序,尤其是 B2B,可能具有更复杂的权限设置。因此,这样的工具更有用。但是据我所知,这个功能并不是很普及。我想知道可能有什么缺点,或者在考虑将其用于我自己的项目之前是否可以阅读任何 RFC 和最佳实践文章。
1 回答
0
当然,这被称为“RunAs”、“impersonation”、“sudo”......
它内置于 Spring Security:http ://docs.spring.io/spring-security/site/docs/4.0.4.RELEASE/reference/htmlsingle/#runasmanager
它还内置于大多数数据库服务器中:
https://msdn.microsoft.com/en-us/library/ms181362.aspx
向安全应用程序添加任何复杂性都会使其更容易受到攻击。
于 2016-04-29T20:03:40.150 回答