深入浅出：以规则集为基础的存取控制 (Rule-Based Access Control, RBAC)

目录 (Table of Contents)#

什么是以规则集为基础的存取控制？
核心构成要素
- 主体 (Subject)
- 客体 (Object/Resource)
- 操作 (Action)
- 规则 (Rule)
- 环境属性 (Environment Attributes)
- 策略决策点 (Policy Decision Point - PDP)
- 策略执行点 (Policy Enforcement Point - PEP)
规则是如何工作的？ - 逻辑与执行流程
常见应用场景
实施步骤与最佳实践
优点与缺点分析
与其他存取控制模型的比较
常见挑战与解决方案
范例场景与规则编写
总结
参考资料

1. 什么是以规则集为基础的存取控制？#

以规则集为基础的存取控制的核心思想很直观：访问权限的授予或拒绝，是根据一组预先定义且集中管理的逻辑规则来判断的。这些规则本质上是 IF-THEN 形式的陈述句：

```
IF <满足特定条件集合> THEN <授予访问权限> | <拒绝访问权限>
```

<满足特定条件集合>： 这部分定义了触发决策的标准或情境。这些条件基于：
- 主体属性： 使用者身份（ID）、群组、角色、部门、安全等级等。
- 客体属性： 资源类型（档案、资料库表、API端点）、所有权、敏感度标签、位置等。
- 操作类型： 读取 (Read)、写入 (Write)、执行 (Execute)、删除 (Delete) 等。
- 环境属性： 请求发生的时间 (Time of Day)、地理位置 (Location)、设备类型 (Device Type)、网路来源位址 (IP Address)、安全协定状态 (TLS加密强度) 等。
<授予访问权限> | <拒绝访问权限>： 这部分是当条件被满足时执行的动作。

系统中的策略决策点 (PDP) 负责评估接收到的访问请求（包含主体、客体、操作和环境资讯）是否匹配规则库 (Rule Repository) 中的任一规则条件。评估结果（允许或拒绝）传递给策略执行点 (PEP) 执行最终的访问控制决定。

关键特点：

宣告式 (Declarative)： 安全策略被表达为规则，而不是硬编码在应用程式中。
动态性： 决定在访问发生时实时做出。
集中化管理： 规则通常储存在集中式资料库或策略伺服器上。
灵活性： 能够根据复杂的组合条件（如时间、地点、装置）进行决策。
非自主性 (Non-Discretionary)： 存取决定主要依据系统定义的规则，而非资源拥有者的个人意愿（如DAC）。

2. 核心构成要素#

要深入理解RBAC，必须认识其关键元素：

主体 (Subject)： 请求访问资源的实体，如使用者、应用程式程序、服务帐号、设备ID。
客体 (Object/Resource)： 被访问的目标资源，如档案、资料库记录、系统设定、网路连线埠、API、虚拟机器。
操作 (Action)： 主体企图在客体上执行的动作，通常分类为：读取 (Read)、写入 (Write)、创建 (Create)、删除 (Delete)、执行 (Execute)、管理 (Administer) 等。
规则 (Rule)： 核心决策逻辑单元。每条规则包含：
- 唯一识别码 (ID): 方便追踪和引用。
- 条件 (Conditions)： 一或多个布林表达式，涉及主体属性、客体属性、操作、环境属性。例如：(subject.department == '财务') AND (object.sensitivity == '机密') AND (action == 'READ') AND (time >= '09:00' AND time <= '17:00')。
- 效果 (Effect)： 当条件满足时应执行的决定：PERMIT（允许）或 DENY（拒绝）。通常规则设计为一旦匹配成功，即根据该规则的Effect作出决定并停止评估。
- 优先级 (Priority/Order)： 当规则库庞大或规则可能有冲突时，设定评估顺序至关重要。优先级高的规则先被评估。
环境属性 (Environment Attributes)： 提供额外的、独立于主体和客体的上下文资讯，对动态决策至关重要。常见例子：current_time, requestor_ip, requestor_device, authentication_method, authentication_strength, network_segment。
策略决策点 (Policy Decision Point - PDP)： 「大脑」。接收PEP送来的访问请求（包含Subj, Obj, Action, Env资讯）。查询规则库，根据规则的条件和效果进行逻辑评估，得出决策（Permit/Deny），并将决策返回给PEP。可以内建在PEP或独立存在（如策略伺服器）。
策略执行点 (Policy Enforcement Point - PEP)： 「执行者」。位于被保护资源的入口点（例如：应用程式前端、档案系统驱动、网路闸道）。负责：
1. 拦截访问请求。
2. 从请求中萃取主体、客体、操作和环境资讯（有时需透过Context Handler取得额外属性）。
3. 将这些资讯封装成决策请求 (Authorization Request) 发送给PDP。
4. 接收PDP的授权决策（Permit/Deny）。
5. 强制执行该决策： 允许请求通过或拒绝请求，并可能记录该访问事件。

3. 规则是如何工作的？ - 逻辑与执行流程#

典型的规则评估流程如下：

请求发起： 主体（例如，使用者 "Alice"）企图通过客户端（例如，浏览器）对一个客体（例如，档案 "budget.xlsx"）执行一个操作（例如，"Write"）。
PEP拦截： PEP（例如，档案系统驱动）拦截此请求。
上下文资讯收集： PEP收集并格式化授权请求：
- Subject: Alice (包括可能属性 department='财务', role='经理')
- Object: budget.xlsx (包括属性 owner='财务长', sensitivity='机密', location='/secure/finance')
- Action: Write
- Environment: current_time=14:30, client_ip=192.168.1.100
PDP查询： PEP将授权请求发送给PDP（可能是本机模组或远端策略伺服器）。
规则检索与评估： PDP从规则库（Rule Repository）检索所有适用的规则（可能基于对象类型、动作范围预先过滤）。PDP依照规则的优先级顺序或特定演算法（例如，最优先匹配First-Match）开始评估规则的条件：
- 规则1条件： (subject.department == '财务') AND (object.sensitivity == '内部') AND (action IN ['Read', 'Write']) -> 条件不满足 (object.sensitivity是'机密'而非'内部') -> 跳过。
- 规则2条件： (subject.role == '经理') AND (object.sensitivity IN ['机密', '最高机密']) AND (current_time >= '08:00' AND current_time <= '18:00') -> 条件满足 (Alice是经理，档案敏感度是机密，时间是14:30在工作时间内) -> 效果：PERMIT。
- (评估可能停止，因本规则匹配成功并产生Permit决定)。
决策发回： PDP将决策 (Permit)，有时连同适用的规则ID和理由，发送回PEP。
执行决策： PEP根据决策执行：
- 如果Permit: 允许Alice对"budget.xlsx"执行写入操作。
- 如果Deny: 拒绝操作，并通常返回"Access Denied"错误。
审计日志： PEP (或 PDP) 通常会将此次访问请求、授权决策和相关元资料记录在审计日志 (Audit Log) 中，以便后续合规审查与事故调查。

4. 常见应用场景#

RBAC因其灵活性，可在众多领域发挥作用：

网路防火墙： 定义允许/拒绝特定来源IP、目的地IP、通讯埠、通讯协定 (IP/Port/Protocol) 的流量规则。例如：“允许内部网路 (192.168.0.0/24) 访问资料库伺服器 (10.0.0.5) 的TCP埠1433 (SQL Server)”。
作业系统档案系统权限： 在Linux iptables/nftables 或Windows防火墙中设定规则。实现对档案/目录的细粒度存取控制。基于规则的强制访问控制 (如SELinux, AppArmor) 更是在系统层面实施复杂的RBAC策略。
资料库存取控制： 控制使用者/应用程式对特定资料库、资料表、检视图、储存过程的SELECT, INSERT, UPDATE, DELETE, EXECUTE权限。例如：“只有角色 'App_DBA' 才允许执行 'ALTER TABLE' 操作”。
Web应用程式安全： 保护API端点、UI页面和功能选项。例如：“只有角色='管理员' 或 部门='HR' AND 时间在工作日 的用户才能访问 /employee/records 端点进行GET操作”。
云端服务 (AWS, Azure, GCP)： IAM (Identity and Access Management) 策略，正是典型的规则集。例如：AWS IAM Policy 中定义 Allow 或 Deny，基于 Principal, Action, Resource, Condition (IP范围、时间、标签等) 的复杂规则。
内容管理系统 (CMS)： 控制使用者可以编辑、发布、查看哪些栏位、页面或内容类型。
软体定义网路 (SDN)： 基于各种匹配条件动态设定网路流路径和安全策略。
API 闸道： 在API调用前后进行基于策略的授权。

5. 实施步骤与最佳实践#

成功实施基于规则的存取控制需要遵循结构化的方法：

需求分析与范围界定：
- 识别需要保护的重要资源（客体）。
- 识别需要访问资源的主体（使用者、应用、服务）。
- 定义对每类资源允许执行的操作（Action）。
- 识别相关的属性（主体属性、客体属性、环境属性）。
- 明确定义各种业务场景下的访问策略（什么情况下允许/拒绝访问）。
- 定义审计要求。
规则设计：
- 从最小权限原则出发： 预设拒绝所有访问 (Deny All base rule)，然后根据业务需要，精确新增允许规则 (Allow Exceptions)。
- 模组化设计： 将规则按其管控的资源类型、业务功能或风险等级分组，储存在不同的规则集或策略档中。
- 优先级清晰定义： 确保规则库评估顺序明确定义（如数字优先级，从高到低评估）。特别注意处理潜在冲突（例如，一条Allow规则和一条Deny规则在特定条件下同时可能被匹配）。通常明确指定优先级高的规则覆盖低优先级规则。
- 简洁与可读性： 避免过于复杂、巢状很深的规则。使用清晰的命名规范和注解。
- 利用环境属性实现动态控制： 善用时间、位置、设备、网路来源、验证强度等属性实现情境感知存取控制。
- 避免规则爆炸： 优先使用属性和通配符（Wildcards）来简化规则，而非为每个轻微变化建立大量相似规则。
- 处理“未匹配”情况： 明确规则库末尾是否包含一条预设规则（通常是Deny）。
选择与部署技术：
- 评估系统原生支援的存取控制机制（如OS ACLs, Database Roles）。
- 考虑专用的策略管理与决策引擎（如基于 XACML 标准的产品）。
- 在云环境中，充分利用云厂商提供的IAM服务（AWS IAM, Azure RBAC, GCP IAM）。
- 确保规则存储（资料库、LDAP、档案）安全可靠。
- 建立PDP部署架构（集中式或分散式）。
实施与整合：
- 部署PEP在被保护资源的关键接入点。
- 配置PEP与PDP之间的通信机制（例如通过API呼叫）。确保通信的安全性（TLS加密）。
- 将设计好的规则集载入到规则库/策略伺服器中。
- 建立规则的载入、更新、生效流程。
严格测试：
- 正面测试： 用满足允许规则条件的请求验证Permit决策。
- 负面测试： 用不满足允许规则条件、或明确匹配拒绝规则的请求验证Deny决策。
- 边界条件测试： 测试规则条件定义的边界值（例如时间规则的临界点）。
- 规则冲突测试： 验证当多条规则可能被匹配时，决策是否符合预期的优先级。
- 预设规则测试： 验证没有规则匹配时的预设行为。
- 性能测试： 模拟高并发访问，测试规则评估对系统性能的影响。
部署与监控：
- 在生产环境部署。
- 启用详细的审计日志，记录关键资讯：请求时间戳、主体、客体、操作、环境资料源、决策结果（Permit/Deny）、适用的规则ID、PDP处理耗时。
持续管理与维护：
- 定期审计与检视： 定期（例如每季/每半年）检查规则的实际使用情况、决策日志，识别无效、过期或过于宽松的规则。
- 变更管理： 对规则的任何新增、修改或删除，必须通过严格的审批流程和测试验证。使用版本控制管理规则档。
- 存取审阅 (Access Review)： 定期让业务负责人确认其部门/项目的使用者权限（特别是规则中使用的属性）仍然必要且适当。
- 监控与警报： 监控规则引擎的性能、错误率；设置对频繁拒绝访问、未预期的允许访问或规则评估超时的警报。
- 文档齐备： 保持规则的业务理由和预期行为的文档及时更新。

6. 优点与缺点分析#

优点：

高度灵活与可扩展： 能轻松适应复杂的访问策略需求，新增或修改策略只需更新规则集。
动态决策： 可依据即时环境因素（时间、地点等）决定权限，实现情境感知。
集中化管理： 策略规则通常存储在中心位置，方便统一管理和审计。
非自主性： 规则由管理员或安全团队定义，减少了资源拥有者随意授权带来的风险（与DAC相比）。
自动化执行： 访问决策基于规则自动、一致地执行，减少人为错误和主观判断。
可审计性： 规则本身和访问决策日志为合规审计和安全调查提供了清晰的依据。
适用性广： 几乎可应用于任何需要访问控制的领域。

缺点与挑战：

管理复杂度： 随著策略增长，规则库可能变得非常庞大且复杂，规则间可能存在隐藏冲突，难以维护和理解。
规则冲突风险： 需要精心设计优先级以避免逻辑冲突。解决冲突本身可能带来复杂性。
性能瓶颈： 大型且复杂的规则库在处理高并发请求时，评估规则的时间可能成为系统的瓶颈，特别是在简单事件匹配演算法（如线性遍历）下。
“规则爆炸”问题： 尝试覆盖所有例外情况可能导致规则数量失控。
初始配置成本高： 分析和制定完善的规则集在初期需要投入较多时间和专业知识。
属性获取依赖性： 规则的准确性依赖于能够获取正确、即时的主体、客体和环境属性资讯。
潜在配置错误： 规则语法错误或逻辑错误可能导致非预期的访问权限（过于宽松）或拒绝合法访问（过于严格）。

7. 与其他存取控制模型的比较#

自主存取控制 (DAC)： 资源的拥有者决定谁能访问资源及其权限。DAC更简单直观（如UNIX档案权限 rwx），但控制分散，安全性较低（用户可能错误配置）。RBAC则是集中定义规则决定，由系统自动执行。
强制存取控制 (MAC)： 基于安全标签（例如政府机密等级：公开、密、机密、最高机密）和主体的许可级别进行决策。决策通常是“向下读取，向上写入”。MAC安全性高，极其严格，但缺乏弹性且管理成本高。RBAC的决策条件更广泛（不限于标签），灵活性高得多。MAC系统（如SELinux）内部通常也使用基于规则的策略来实现其标签逻辑。
基于角色的存取控制 (Role-Based Access Control, also RBAC!)： 这非常容易混淆！两者缩写都是RBAC。我们讨论的主题是 Rule-Based RBAC (基于规则的)。另一个经典的RBAC是 Role-Based RBAC (基于角色的)。
- 基于角色 (Role-Based) RBAC： 使用者被赋予角色，角色被赋予权限。访问决策基于使用者拥有的角色。核心是“角色-权限”对映。它简化了使用者管理（增删使用者角色），特别适用于大型企业中具有明确职责定义的场景。
- 基于规则 (Rule-Based) RBAC vs. 基于角色 (Role-Based) RBAC：
  - 规则型 (Rule-Based) RBAC 是基于属性的逻辑条件（包括角色在内）做出决定。它是宣告式和动态的。
  - 角色型 (Role-Based) RBAC 的核心是静态的“角色-权限”分配链。
  - 实际应用中经常结合使用：角色型 RBAC 定义使用者的功能权限轮廓，而规则型 RBAC 则在这个基础上，根据更细粒度的属性或动态环境条件来进一步约束或授权访问。
基于属性的存取控制 (ABAC)： 被视为规则型 RBAC 的进化版。ABAC 也使用基于属性的规则做决策，但通常：
- 更加强调属性（主体、资源、环境、操作）的灵活组合。
- 规则的条件部分更复杂，支援布林逻辑、比较运算、数学运算、字串操作等。
- 标准化程度更高（如XACML标准）。
- 许多现代规则型存取控制系统事实上已演变成ABAC系统。规则型RBAC可以看作是ABAC的一个子集或一种实现方式，其规则本质上就是基于属性的逻辑判断。

8. 常见挑战与解决方案#

挑战：规则冲突与覆盖逻辑复杂
- 问题： 多条规则可能同时匹配同一个请求，效果冲突（一条Permit一条Deny）。
- 解决方案：
  - 明确优先级： 给每条规则设定清晰的优先级数值。评估按优先级顺序进行，高优先级规则优先匹配生效。例如，Deny规则优先级通常高于Allow规则，确保在潜在冲突时安全优先。
  - 使用特定覆盖通用： 设定更具体（条件匹配项更多）的规则优先级高于更通用的规则。
  - 策略组合演算法： 一些高级框架支援如 "Deny-Overrides" (Deny优先), "Permit-Overrides" (Permit优先), "First-Applicable" (第一匹配), "Only-One-Applicable" 等组合演算法来解决规则库层面的冲突。
  - 工具辅助： 使用规则编辑器或分析工具自动侦测潜在冲突。
挑战：效能问题（大型规则库）
- 问题： 线性遍历数千条规则耗时长。
- 解决方案：
  - 规则优化： 定期清理无用规则，合并相似规则，简化复杂规则。
  - 高效演算法： 选择支援高效匹配演算法的策略引擎（如 RETE演算法、基于树或索引的优化）。
  - 规则组织与分割： 将规则按资源或场景分类，PEP尽量精确指定查询范围，减少传送给PDP的无关规则数。
  - 快取机制： 对常见的、短时间内结果不太会变的请求决策（特别是Permit）进行适度快取。需谨慎处理快取失效问题（规则变更或属性变更需要刷新相关快取）。
  - 预处理与索引： 为常用属性值建立索引。
  - 分散式PDP/负载平衡： 高并发场景下使用多个PDP实例。
挑战：“规则爆炸”
- 问题： 为应对细粒度控制和各种例外导致规则数量急剧膨胀，难以管理。
- 解决方案：
  - 属性泛化： 优先使用通用属性（如部门、角色）而非个别使用者ID来定义规则。善用群组和标签。
  - 谨慎使用通配符： 在确保安全的前提下合理使用*（代表所有）或范围（如IP位址区块）来简化规则。
  - 层次化策略： 定义分层策略（如全域策略、部门策略、应用程式策略），避免所有规则都写在同一个大集合里。
  - ABAC进阶特性： 利用ABAC中属性组合的强大功能减少单独规则条数。
  - 避免微不足道的例外规则： 仔细评估新增例外规则的必要性。
挑战：规则维护困难与风险
- 问题： 错误修改规则可能导致系统中断或安全漏洞。
- 解决方案：
  - 严格变更控制流程： 所有变更需申请、审批、测试（先在非生产环境验证）、部署、验证。
  - 版本控制： 使用Git等工具管理规则档历史版本，方便回滚。
  - 影响分析工具： 利用工具分析规则变更可能影响哪些请求或资源。
  - 分阶段部署与灰度发布： 对于关键变更，逐步推送给部分流量或使用者，监控后再全量发布。
  - 自动化测试： 建立涵盖关键业务场景和边界条件的自动化授权测试套件。
挑战：准确及时的属性资料
- 问题： 规则依赖的主体属性、资源标签、环境资讯可能不准确、过时或无法获取。
- 解决方案：
  - 可靠的资料来源： 确保与身份储存库（如AD, LDAP）、资源目录（如CMDB）、环境侦测系统整合，并保证其资料的准确性和即时性。
  - 属性刷新机制： 定义属性的有效期和刷新策略，对于易变属性（如使用者部门）在决策前尽可能获取最新值，或设计规则时考虑其潜在变动。
  - 预设值与后备机制： 对于暂时无法获取的属性，定义安全的预设处理逻辑或明确的Deny决策。
  - 属性权威来源定义： 明确各类属性的唯一权威来源。

9. 范例场景与规则编写#

假设在一个公司的Web应用程式中，需要基于规则控制对薪资系统模组的访问。

场景描述：

客体： /api/payroll/salaries (查看薪资的API端点)。
操作： GET (查看)。
允许访问的主体：
1. 人力资源部门的员工可在正常工作日（周一至周五，早上9点至下午6点）访问。
2. 拥有薪资经理 (Payroll Manager)角色的员工可在任何时间访问。
3. 使用者自己的薪资记录可透过一个专门的API (/api/payroll/salaries/{self}) 查看，不受此规则限制（假设由另一套规则控制）。
禁止访问的主体：
1. 非人力资源部且无薪资经理角色的员工。
2. 任何人尝试在非工作时间访问（除非是薪资经理）。
3. 来自外部网路（公司VPN IP范围 10.100.0.0/24 以外）的访问尝试。

规则设计 (范例规则集)：

规则顺序与优先级: 规则编号 数字越小优先级越高。
规则表达式（伪代码）：

规则 ID: R001
优先级: 1
条件:
    (resource_path == '/api/payroll/salaries') AND
    (action == 'GET') AND
    (requestor_ip NOT IN ['10.100.0.0/24'])
效果: DENY
注解: 外部IP访问薪资资讯一律拒绝。安全优先级最高。

规则 ID: R002
优先级: 2
条件:
    (resource_path == '/api/payroll/salaries') AND
    (action == 'GET') AND
    (subject.roles CONTAINS '薪资经理')
效果: PERMIT
注解: 薪资经理始终允许查看所有薪资。

规则 ID: R003
优先级: 3
条件:
    (resource_path == '/api/payroll/salaries') AND
    (action == 'GET') AND
    (subject.department == '人力资源') AND
    (current_day IN ['MON', 'TUE', 'WED', 'THU', 'FRI']) AND
    (current_time >= '09:00' AND current_time <= '18:00')
效果: PERMIT
注解: HR员工仅在工作时间访问薪资资讯。

规则 ID: R004
优先级: 4 (预设规则)
条件: TRUE (匹配所有请求)
效果: DENY
注解: 默认拒绝所有未明确允许的访问。

规则评估解释：

外部使用者（requestor_ip='203.0.113.5'）尝试访问GET /api/payroll/salaries：
- 匹配 R001 条件 -> DENY。决策结束。
具有 "薪资经理" 角色的员工 (roles=['工程师', '薪资经理'], ip='10.100.0.5') 在周日凌晨 2 点访问：
- 跳过 R001 (IP在范围内)。
- 匹配 R002 (具有薪资经理角色) -> PERMIT。决策结束。（忽略时间限制）。
HR员工 (department='人力资源', ip='10.100.0.10') 在周二上午 10 点访问：
- 跳过 R001。
- 跳过 R002 (无薪资经理角色)。
- 匹配 R003 (HR部门，且时间在周二工作时间内) -> PERMIT。决策结束。
HR员工在周六下午访问：
- 跳过 R001。
- 跳过 R002。
- 不匹配 R003 (current_day 是 SAT) -> 不适用。
- 匹配预设规则 R004 -> DENY。
工程部员工 (department='工程', ip='10.100.0.20') 在工作时间访问：
- 跳过 R001。
- 跳过 R002 (无角色)。
- 不匹配 R003 (部门不对)。
- 匹配 R004 -> DENY。

10. 总结#

以规则集为基础的存取控制 (RBAC) 是建构现代、动态且安全的资讯系统的基石技术之一。它透过将安全策略封装为清晰定义的逻辑规则，实现了访问控制的集中化、自动化和情境感知。尽管在规则管理、性能优化和冲突解决方面存在挑战，但透过遵循 最小权限原则、模组化设计、明确优先级、严格变更管理和持续维护优化 等最佳实践，可以有效地驾驭这些挑战。

在选择实施方案时，需综合考量系统规模、复杂度、性能要求和现有技术栈。无论是使用网路设备的内建ACL、作业系统的档案规则、资料库的复杂许可权管理，亦或是部署基于标准（如XACML）的企业级策略决策点，规则型存取控制的核心理念——基于预定义逻辑规则实施自动访问决策——始终适用且不可或缺。掌握其核心概念、关键要素、最佳实践和应对挑战的方法，对于任何从事系统安全设计、开发和运维的专业人员都至关重要。

11. 参考资料#

National Institute of Standards and Technology (NIST): Access Control Models, NIST Special Publications (e.g., SP 800-53 - Security and Privacy Controls for Federal Information Systems and Organizations)。提供权威的安全控制框架，其中包含对访问控制模型的详细描述和要求。
Internet Engineering Task Force (IETF): RFCs related to access control (e.g., defining IP/port-based access control lists)。网路标准的权威来源。
OASIS: eXtensible Access Control Markup Language (XACML) standard. 定义基于属性的访问控制策略语言和架构。
Cloud Service Provider Documentation:
- AWS IAM Policy Language Guide
- Microsoft Azure Role-Based Access Control documentation (Note: Azure's "RBAC" is largely Role-Based, but policies use rules).
- Google Cloud IAM Custom Roles and Conditions. 提供云端环境中基于规则和属性的IAM实践范例。
SELinux & AppArmor Documentation:
- Red Hat SELinux documentation.
- Ubuntu AppArmor documentation. 这些是作业系统层面实施强制访问控制（MAC）的典型范例，其底层策略本质是高度复杂的规则集。
OWASP:
- Access Control Cheat Sheet. Open Web Application Security Project，提供Web应用程式访问控制的最佳实践建议。