一旦我们知道了用户是谁,就可以确定他们是否有权限访问请求的资源。这一过程的实现方式很多,根据资源决定。在基于windows的系统中,大多数资源都有一个访问控制列表(ACL),其中列出了可以访问某一资源的用户。这种列表通常指定了每个用户所拥有的访问类型,即他们是否能够阅读它、写入它、修改它或者删除它等等。
例如,如果用户请求一个ASP页,操作系统将确认他对此页面是否具有read访问权限。如果有,将允许IIS读取该页。然而,IIS也带有授权设置,用来控制用户获取某一资源的权限。假设是一个ASP页面,如果IIS为该页设置了Script Execute(脚本执行)许可,那么用户就可以在该页执行脚本。
因此,在传统的ASP环境中,我们可以看到授权过程设计到几个层。如果被识别的用户拥有以他们所请求的方式访问资源的权限,那么授权过程就顺利完成。如果不能得到许可,那么它们将得到由层产生的错误信息,拒绝他们访问该资源。在通常情况下,当用户得到授权访问该资源时,用户的操作是合法的,就不会产生什么错误信息了。
应用程序授权功能:目前有0条评论