数字货币时代将至

这是一个大胆的愿景，但汉娜对于自己和IT团队如何实现这一愿景同样有着令人钦佩的计划。她表示，她的团队将继续为远程办公方式提供支持，而该工作方式将至少持续到7月份，然后再转为办公室工作和远程工作的混合模式。他们将继续对该郡的老旧技术进行现代化改造，推进其数字化方案，进一步采用云计算，并为用户提供更多的分析功能，以促进其做出数据驱动的决策。

“有一股强大的力量推动我们重新思考自己的工作方式。也有很强大的推动力让我们真正利用数字化技术，考虑移动端技术，配备现代化的系统，以及将您的工作放到随时可访问的云端，”她说。“政府现在必须以7X24小时运转。人们希望您能提供服务和通过您获取信息，并且希望实时获得信息。因此，我们需要进行创新，需要重新审视过去可行的但如今应该升级的业务流程。”

不只是汉娜拥有2021年的愿景;其他首席信息官也在重新思考自己的组织在来年和未来十年的运作方式和数字化工作。

例如，星座研究公司(Constellation Research)的《2021年首席信息官展望》(CIO Outlook 2021)报告称，接受调查的首席信息官中有77%的人将数字化转型列为2021年的第一大预算。
 

主管们分享了他们希望如何在新的一年里对其团队、组织和自身进行转变的一些愿景。

塔尼亚·汉娜(Tanya Hannah)为2021年制定了一个雄心勃勃的计划，并将未来几个月看作是利用技术来改变工作方式和满足各部门需求的时机。

美国华盛顿州国王郡(King County)的首席信息官汉娜将2021年视为进行重新设想的时机：国王郡该如何运营，如何提供各项服务以及如何为在该地区内生活和工作的人们提供服务。

汉娜说：“我们想让国王郡成为每个人都能蓬勃发展的地方。
 

光知道他是系统的合法用户还是不够，web应用还得保证当前用户只能访问他拥有权限的接口。

比如有个薪资查询的接口，业务上只允许部门领导角色访问。如果系统不做控制，张三知道了薪资查询接口，就拿着自己的token去调用此接口然后就能知道所有员工的薪资了，这种问题我们称之为"越权访问"。

处理这个问题现在应用广泛的一种方法就是“基于角色的访问控制(RBAC：Role-Based Access Control)”，也称“垂直权限管理”。

RBAC事先会在系统中定义出不同的角色，不同的角色拥有不同的权限，一个角色实际上就是一个权限的集合。而系统的所有用户都会被分配到不同的角色中，一个用户可能拥有多个角色。

当用户带着token请求后端服务时，我们还得通过token查询出当前用户所属的角色，然后根据角色查询出用户拥有的所有权限。权限框架 Spring Security 和 Shiro都很好的支持RBAC控制。

他不能查看别人的数据!

张三和李四都是部门领导，他们都可以查询员工薪资的权限。但是他们都只被允许查看自己部门员工的薪资。张三知道了接口调用规则，就可以通过修改调用参数获取李四部门员工的薪资了，这种情况当然也是不被允许的。

在RBAC模型下，系统只会验证用户A是否属于角色RoleX，而不会判断用户A是否能访问只属于用户B的数据DataB，因此发生了越权访问。这种问题我们称之为“水平权限管理问题”。

现在数据级权限管理并没有很通用的解决方案，一般是具体问题具体解决。

简单的做法是给接口请求加上秘钥，通过接口参数+当前系统登录人一起进行加密发送给后端服务，后端接受到请求后对加密内容进行解密，根据约定的规则解析出用户信息并与登录用户进行匹配，匹配上正常访问，匹配不上则拒绝访问。

（编辑：宣城站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!