认识达内从这里开始

安全架构开发是每一位软件开发程序员都需要长期关注的一个编程问题，下面我们就通过案例分析来简单了解一下，安全架构开发实践注意事项分析。

现在讲验证、授权、审核是三个比较常见的方法。先，验证。我是用户，是谁呢?权力是什么?用什么东西?这很重要，可以帮助你了解到用户的需求以及不同类型的用户在系统里面扮演不同的角色该怎样具体做呢?有这样的系统怎样能够做好本地的验证和授权。其实很多方法都可以。

先来看看一个简单的两级的方式，Web服务器和数据库直接进行对换。讲到安全、认证、授权简单的方法，系统认出你的用户，在系统里面有一个用户的名单，有他们使用的权力，通过映射的方式，客户来了映射能做什么，是不是高效能，不一定。

早上说过我们有不同的选择，要解决这样的问题，选择很多的，还有另外一个方法，比如说设计自己的架构，不把你的数据放在数据库里，大的企业会有一种主动的目录和一些算法，是包含了用户和他的一些资格说明，这样的话就可以加以利用了。你不会把用户放在你的数据库里，可以把用户放在别的地方，这样的话管理的负担也小了。有新的用户在中间的注册器里面注册新用户就可以了。

但也许它的角色放在数据库，因为不同角色有不同的授权。所以用户和他的资历放在外面，但是角色放在数据库里，这也是很好分解的办法。或者甚至把授权也放在主动的目录当中，形成不同的群组，这是可以选择的方法。但是会不会比之前的方法更好呢?同样，这并不是我能回答的问题。有些企业、有些组织很愿意做这种，觉得这个够了，可以对于用户的目录专门存放用户的信息。但是其他的一些企业、一些组织并不喜欢把你自己的群组放在自己的服务器上。有些时候可以，有些时候不愿意使用。

还有其他的方法，可以用安全令牌的服务，有人做身份基金会的工作，实际上就是把安全进行集中化，不管是身份验证还是授权都能够集中起来，我两年前做的一个项目，有一个单独的令牌的系统，这里面给我们带来的复杂性是不可想象的，本来只有一个人做这个项目，压力非常大，非常复杂。这也是一种选择。对某一种企业来说，也许是好的选择。

哪一个方案是“好”的?其实没有所谓的好的方案，永远只能对你来说好，对这个环境来说好，所以哪个是好呢?还是回到今天早上讲过的，从高层的角度上了解我们的需求，了解我们环境的约束性、局限性。如果在大企业工作的话，可能会有一个主动的目录服务器了。可以去找这个有关的部门，可以找你服务器来做验证。可不可以把决策和授权放在目录当中，可以选择好的解决方案。

有一个大的英国超市，用明文来记密码，密码以明文的形式寄到邮箱，回归到之前的架构，如果数据库是够安全的话，明文也没问题的。对于这篇文章之后，有一个很好的明文建议，如果用明文密码会加密，而且是散列的处理。我不是一个安全专家，但是我知道至少有不同的方法来把密码进行分类散列，比如说用一些随机的数字进行加密和散列，这都是很好的进行密码散列的方法。当然我们也选择一个适合我们的方法。

审查、审计也是一方面，我们要有一个审计的线索。比如说我们在泽西岛是离岸的环境，做很多交易，必须知道哪些用户做了什么?为什么要这么做?因为有人对这个网站提出一些索赔，丢失了信息我们要追诉回去，看一下他的信息怎么丢的，有没有修改。

【免责声明】：本内容转载于网络，转载目的在于传递信息。文章内容为作者个人意见，本平台对文中陈述、观点保持中立，不对所包含内容的准确性、可靠性与完整性提供形式地保证。请读者仅作参考。更多内容请加danei0707学习了解。欢迎关注“达内在线”参与分销，赚更多好礼。