我正在处理一个非常详细的安全需求的项目。如果提出的模型与任何情报/安全机构一样复杂,我会诚实地不会感到惊讶。现在我已经读到,将安全与业务逻辑结合起来是一个混合问题,因此需要避免。安全可能不是一个横切关注?
但是,所有抽象安全的尝试都失败了,或者像以前一样产生了像抽象一样的“抽象”。是否有可能让安全性如此具体以至于成为业务规则的一部分?在某些违反安全的情况下,只会屏蔽数据,而在其他情况下会终止会话,而在其他情况下,则会触发默认值以替代使用。对安全性要求有很多要求。
我的根本问题是:我是否可以处于特殊情况下(即将安全性合理化)或者我不理解关于抽象安全性的基本知识?
编辑:
TL;博士(答案,因为我理解他们):认证(你是谁)是一个很有横切关注点,应该抽象,而授权(什么都可以你这样做)是商业逻辑。缺乏这种词汇并且只有“安全”这个词(或者可能没有意识到两者之间的区别)导致我的困惑。
我认为您会在[ITSecurity](http://security.stackexchange.com) /) – AviD 2011-05-09 16:18:25
我认为当你说“安全性”时,你并不是指*只是*来进行身份验证和授权,因为这两个海报至今都宣称它是全部存在的...... – AviD 2011-05-09 16:20:00
Avid,我认为我们是没有解决其他安全问题,因为这个帖子特别质疑安全性是否可以成为业务规则的一部分,而Sql注入攻击虽然是“安全性”的一部分,但通过编码模式和实践来解决,因为数据跨越各层,而不是在要求中常见的东西 – Andy 2011-05-09 16:23:03