SH

Soloharness

概念 · 辨析 · Agent

← 返回概念辨析

Concept Contrast Fable

访问控制和权限模型

访问控制是仓库门上的铁锁——验证你是谁、你该不该进。权限模型是桌上的钥匙册——记录谁能进哪扇门、钥匙什么时候发的、离职了有没有追回来。锁再贵也管不了钥匙册不更新——册子错了,锁只会帮你更快地放错人进去。

寓言

铁锁和钥匙册

方姐的铺子越做越大,仓库里分了六个区,每个区堆着不同客户的数据。她给每个区装了一把铁锁,锁分级别——普通铁锁用钥匙开,机密铁锁用指纹加钥匙双认证。她管这套装置叫访问控制:进门先验身份,验过了才能进去。锁是从市面上能买到的最好的锁。

半年后麻烦来了。销售组的小李需要去东区取客户报表,保安查了钥匙册——册子上写着小李有权进东区和南区。保安开了锁,小李顺利取了报表。但实际工作中,小李的岗位三个月前就调整了,早就不该再碰南区数据。钥匙册从没更新过,因为没人通知保安小李换岗了。

同一个月,新来的实习生阿敏被分配去整理西区的旧档案。保安翻开钥匙册,阿敏的名字根本不在册子上。钥匙册里记录的是半年前的编制——那时阿敏还没入职,自然没有她的权限。阿敏在外面干等了两小时,等老员工来开门。锁是好的,册子是旧的。

方姐把保安队长找来,指着钥匙册问:这本册子到底谁在维护?保安队长说,人事只管入职发钥匙、离职收钥匙,部门调整不通知我们。方姐明白了:装了再好的锁,钥匙怎么发、发出去后要不要追回来——那是另一套系统,叫权限模型。锁不会告诉你小李已不该进南区,锁只会检验来人是不是小李。

方姐做了三件事。第一,让每个部门的负责人每季度审核一遍自己部门的人还需要哪些钥匙。第二,钥匙有效期统一设置,到期自动失效,续期须部门负责人确认。第三,离职当天所有钥匙立即作废,不等月底统一办。这三条都是钥匙册的规矩,一把锁也没换。

铺子后来接了一个政府项目,审计师来看安全措施。他们不只看锁多好,主要看钥匙册——谁能开哪扇门、审批记录在哪、离职回收有没有漏掉的。审计师对铁锁只扫了一眼,对钥匙册翻了整整两个钟头。审计报告的第一条整改项不是升级门锁,是补充钥匙发放审批人和二审人签名栏。

方姐总结给全铺子的话:锁是硬件,管你不让我进我就进不去;钥匙册是制度,管你今天还能不能进、你进了该看什么不该看什么。锁坏了半小时能修好,钥匙册坏了半年才发现——发现的那一次可能已经在赔客户钱了。

新保安入职时,方姐带他看两样东西:仓库墙上的铁锁,和桌上的钥匙册。她说:锁可以买最贵的,但钥匙册谁来写、多久更新一次、错了谁负责——这些才是出事时的第一站。锁错一扇门最多丢一间屋的东西,钥匙册错一个区可能丢六个屋。

访问控制

在运行时强制执行身份验证和授权决策的技术机制,包括认证协议、网关拦截、会话管理,确保「不该进的人进不去」。

权限模型

定义「谁在什么条件下能做什么」的策略框架,包括角色定义、权限继承、审批流程和定期复核制度,是访问控制执行的依据。

故事对应

  • 铁锁(访问控制):运行时的强制执行机制,验身份、定放行
  • 钥匙册(权限模型):策略定义和生命周期管理,决定谁该有钥匙
  • 小李换岗后仍能进南区:权限模型的更新滞后导致访问控制放了不该放的人
  • 阿敏不在册子上:权限模型未同步导致访问控制拦了该放的人
  • 三件事不改锁:权限模型的治理改进不需要换访问控制硬件
  • 审计师翻钥匙册两个钟头:合规审查的焦点在权限模型而非技术实现

落到 Soloharness 项目里

客户做安全审查时问你们的权限管理怎么做——这个问题其实问了两个东西。回答时分成两段:第一段讲你们的访问控制技术栈(OAuth、API 网关、会话策略),第二段讲你们的权限模型治理流程(角色谁定义、权限谁审批、离职回收多少小时内生效)。如果两段答案都只有一行,说明你们有锁没册子或者有册子没锁——安全审查不会让任何一行空着过关。