怎么保障 Web 應用程序訪問控制的安全

保障Web應用程序訪問控制的安全措施有以下這些：

• 仔細評估并記錄每個應用程序功能單元的訪問控制要求。這包括誰能合法使用這些功能，以及用戶通過這些功能能夠訪問哪些資源。

• 通過用戶會話做出所有訪問控制決定。

• 使用一個中央應用程序組件檢查訪問控制。

• 通過這個組件處理每一個客戶端請求，確認允許提出請求的用戶訪問他請求的功能和資源。

• 使用編程技巧確保前面的方法沒有例外。一種有效的方法是規定每個應用程序頁面必須采用一個由中央訪問控制機制查詢的界面。強制開發者將訪問控制邏輯代碼寫入每個頁面，不得找借口省略這些代碼。

• 對于特別敏感的功能，例如管理頁面，可以通過IP地址進一步限制訪問，確保只有特殊網絡范圍內的用戶能夠訪問這些功能，不管他們是否登錄。

• 如果靜態內容需要得到保護，有兩種方法可提供訪問控制。首先，用戶可通過向執行相關訪問控制邏輯的服務器端動態頁面傳送一個文件名，間接訪問靜態文件。其次，可通過使用HTTP驗證或應用程序服務器的其他特性隱藏進入的請求，并在允許訪問前檢查資源許可，控制用戶直接訪問靜態文件。

• 無論何時通過客戶端傳送，指定用戶所希望訪問資源的標識符都容易遭到篡改。服務器應只信任完整的服務器端數據。任何時候通過客戶端傳送這些標識符，都需要對它們進行重新確認，以確保用戶擁有訪問被請求資源的授權。

• 對于安全性很關鍵的應用程序功能（如在銀行應用程序中創建一個新的匯款收款人）考慮對每筆交易執行重復驗證和雙重授權，進一步確保該功能不會被未授權方使用。這樣做還可以減輕其他可能的攻擊（如會話劫持）造成的后果。

• 記錄每一個訪問敏感數據或執行敏感操作的事件。這些記錄有助于檢測并調查潛在的訪問控制違反事件。

回答所涉及的環境：聯想（Lenovo）天逸510S、Windows 10。