【IT168 专稿】
    在很多国家，当新的行政区被确定的时候，都需要建立一套管理规定并任命一个人来执行这些规则，这个人可以立即被人们所认可并且建立起毫无疑问的权威。消费者正面临的Web 2.0应用程序正在迅速进入企业中，随之而来的还有必须解决的安全问题，就如同新的居民点需要它们自己的安全措施一样。

   Web 2.0技术推动了那些协作网站的发展，使用户可以参与其中并进行信息的共享。由于诸如AJAX（异步JavaScript与XML）和JSON（JavaScript对象标志）等技术的存在，Web 2.0应用程序具有交互性和吸引用户关注的特点。

    越来越多的企业正在积极的将Web 2.0技术应用到新的或现有应用程序中，以更好的服务它们的员工、合作伙伴和客户。其例子包括创建社区应用和论坛，以让客户参与到产品评价和评论中，并反馈自己的意见。部署这些应用程序的企业需要进行安全方面的加强，以避免这些关键的信息不会被恶意入侵者修改或被竞争对手截获。这些公司需要一个新的管理者来监视它们的关键信息。

   事实上，随着Web 2.0技术在企业中的采用，应用程序在设计时有很多问题必须要进行考虑，不仅仅要解决和其他企业级产品具有同样的标准、安全问题和体系架构问题，还要考虑专门针对Web 2.0技术的安全问题进行思考。

使用具有一致安全模型的富用户界面框架

    对于早期运送货物的马车来说，车匪路霸给它们带来了很大的忧虑，严重威胁了它们正常的货物运送。因此，它们雇用了护送队来和马车同行，以免意外发生。

    在消费者领域，企业Web 2.0应用程序与它们的竞争应用程序使用了相同的富用户界面技术。通过使用诸如AJAX之类的技术，开发者可以通过借助于XMLHttpRequest API（应用程序编程接口）来请求一个网址，而不用重新刷新浏览器页面，从而可以创建一个富用户界面体验。如此高度动态的应用程序比传统的Web应用程序具有更大的安全风险，因为传统Web应用程序对表现层和后端服务器之间的交互进行了一定程度的控制。但是，这些新的Web 2.0应用程序依然需要确保没有不请自来的“车匪路霸”攻击被注入。同样情况，使用诸如JSON技术创建的应用程序容易被JSON劫持所威胁，基于跨站点请求伪装的技术可以允许一个恶意服务来截取数据。在一个很多功能被嵌入在表现层的应用程序中，通常情况下，设计者对客户端进行安全检查，而没有在服务器端进行更多的访问控制检查。

把安全保障推送到服务层

    在很多国家，较高级的本地法律执行机构通常被认为是安全管理者或最高安全管理者。它通常负责它所掌管的地区的法律的强制执行。如果有任何人不能遵守这些法律，他们将会被迅速的逮捕并被制裁。

    通常情况下，企业应用程序从Web 2.0服务的增加中受益匪浅。举个例子来说，为了解决一个帮助支持系统，客户服务代表可以使用一个Web 2.0风格的应用程序来创建一个临时的社区，并邀请必要的参与者来进行合作并解决这个问题。这种社区可是使用群体性服务，包括讨论性的论坛和Wiki等，参与者可以分享想法并提出反馈意见；还有可以支持共享和发布文档的内容服务；帮助分类、共享和发现信息的标记服务。和管理者相似的是，每一个服务应该负责对其暴露的资源和信息进行保护。因此，安全工作要在每一个不同的服务层来进行，这是非常重要的。

    建议开发者在服务器端利用框架来帮助创建和配置它们暴露的服务和内容，从而提供一个服务器端组件来担任不同服务的代理。把策略执行放在服务器端，可以让用户界面开发者从在表现层进行认证的工作中解放出来，而且，更重要的是，让开发者可以使用不同的服务器端框架来进行安全执行。