今天一个信息安全工程师MM找我聊天,这个MM是新来的。身材略略胖,衣着简朴无华,不施粉黛,一看就是基层工程师本色。听说她懂一些python编程(属于自动化办公的程度),懂一点等保,懂一点web安全再懂一点点渗透工具的使用。
MM说(有点自来熟地):“cat,cat,请教你个技术问题。”
我有点惊讶,毕竟这个工程师氛围浓厚的技术部,大部分人似乎都相信一切靠自学,很少有同事找我交流技术的。
我说(略带惊讶地):“啥问题啊,我不一定懂咯。”
MM说:“前几天在客户那边驻场的时候,有上级部门下来检查安全问题,其中有一条是——中间件用户和应用程序用户需要做权限分离。我很疑惑,应用程序用户我理解就是类似用户自己注册的,中间件用户我理解是登录服务器做运维的工作人员,本来就不是一个用户,为啥还要强调呢?按道理说,应用程序用户本来就不可能访问中间件啊?这条要求我感觉很奇怪。。”
我顺便接口:“奇怪啥?”
MM继续说:“我第一感觉是这个是一个多次一举的检查点。但是我也知道我的感觉是靠不住的。我也不知道是不是自己没怎么真正开发过,经验比较少,老是会碰到一些知识盲区。有时候自己也不是很清楚是我错了,还是别人错了。反正我第一反应是自己错了。
MM可能觉得我是一个愿意帮助她的人,话开始多了。我觉得她还蛮可爱的。
我说:“遇到知识盲区很正常啊,一点点解决就行了。中文吃饭时一起走,我给你稍微讲讲吧。”
以下是中午散步时刻的聊天:
我说:“MM啊,其实在软件开发和运维中,"中间件和应用程序用户权限的分离"这个提法是很普遍的,我相信你也知道权限分离在安全这侧的重要性。你的核心点我感觉是认为这个中间件和应用程序用户本来就是权限分离的,是一个不需要强调的事情,对吧?”
MM说:“是这样的,权限分离能提升安全性,通过为不同用户分配不同的权限,可以确保只有经过授权的用户才能访问和操作相应的资源。这种分层的权限管理有助于防止未经授权的访问和潜在的数据泄露,这个基本点我肯定还是知道。”
小菇凉还说得挺溜的,看来她确实对等保这类合规有过学习和实践。
我说:“那好,你需要补充的只是开发和运维方面的知识,我简单说说。首先,应用程序用户是可能访问中间件的,这点你可以打消顾虑了。
应用程序用户虽然通常不直接访问中间件,而是通过前端界面与中间件进行间接交互。中间件作为系统架构中的关键组件,负责处理业务逻辑和提供封装好的服务接口。然而,在特定情况下(如开发和调试环境或中间件提供直接与用户交互的功能时),应用程序用户可能会直接或间接地与中间件进行交互。
-
在开发和调试阶段,应用程序开发者可能需要直接访问中间件以进行问题排查和性能调优。虽然这并不是应用程序用户的常规操作,但在特定情况下(如开发或测试环境),应用程序用户(或开发者)可能会直接访问中间件。
-
”某些中间件提供了直接与用户交互的功能,如身份验证、会话管理等。在这些情况下,应用程序用户可能会通过中间件提供的接口进行登录、注销或管理会话等操作。
因此,对于“应用程序用户本来就不可能访问中间件”这一说法,并不完全准确。在实际应用中,应用程序用户与中间件的交互方式取决于具体的系统架构和中间件的类型。
MM(略带佩服地):"哦,我好像理解了,又好像没有真正理解,Cat,你做过开发?怎么懂这么多?"
我(谦虚地):“我懂得不多,不懂问AI嘛,这些都是中午吃饭前,我AI了一把才来告诉你的。”
MM(恍然大悟地):“还是很谢谢你啊,我今天又扫了一个盲区。”
我说:“这些AI能回答的都没有啥,我们可以想办法构建一个自己的专业系统和思考,然后去实践发现问题,解决问题,这些才更有趣。”
MM(想结束这个费脑细胞的话题):“今天这个菜看着不错,咱们赶紧选吧,你吃啥菜?”
THE END
原文始发于微信公众号(透明魔方):中间件用户和应用程序用户有必要做权限分离吗?
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论