保持 Project Zero 和 WebSphere sMash 应用程序的安全性，第 1 部分: 身份验证和授权

核心提示： 存在的问题然而，不做任何修改简单地重用 todo 应用程序并不是一种好办法，保持 Project Zero 和 WebSphere sMash 应用程序的安全性，第 1 部分: 身份验证和授权(4)，todo 应用程序工作的方式是任何一个访问这个应用程序 URL 的人都可以添加或删除股票，这在开

存在的问题

然而，不做任何修改简单地重用 todo 应用程序并不是一种好办法。todo 应用程序工作的方式是任何一个访问这个应用程序 URL 的人都可以添加或删除股票。这在开始只有少数几个人使用它来分享专家的高见时运行得还不错，但随着炒股人数的增加，恶意的炒股人开始出现，如图 2 所示。这些人会访问热门股票，为了赚钱自己写上一些评论，然后，他们会把评论删除以便只有自己才知道，甚至还会提供一些虚假信息！

图 2. 恶意修改 tips 应用程序

　　图片看不清楚？请点击这里查看原图（大图）。

因此，专家决定要设法解决这个问题，于是，他开始研读关于 Project Zero 安全性方面的知识。

用户注册表

要对用户进行身份验证，必须要将用户列表保存到用户注册表中。Project Zero 提供了 “用户服务” 库，给出了访问用户注册表所需的一个可扩展框架。所支持的注册表类型包括基于文件和 LDAP（目录）的注册表，如果需要的话，用户服务还可以进一步扩展以创建定制的用户注册表。注册表类型的选择取决于具体的需求和环境：

基于文件的注册表适合作为开发时（development-time）注册表。

推荐将 LDAP 用于实际的产品程序，因为增强的可靠性和安全性对于产品十分重要。

定制的用户注册表可以与其他注册表系统集成在一起。