База данных клиентов и их учетная запись PW Vs для каждого клиента Banking WEB APP

Question

Привет, я путаюсь между «Пользователем» базы данных и «Заказчиком» бизнеса, который получает доступ к своим данным из базы данных.

Я создаю сеть, в которой клиент может войти в систему и получить доступ к своему банковскому балансу, выписке, прямым дебетам и т. Д. (Банковское приложение). Моя база данных sql будет иметь таблицу клиентов с их информацией, таблицу счетов с балансом и т. Д., Таблицу выписок с датой и т. Д. И т. Д. И т. Д.

Мой вопрос заключается в том, что в реальном мире тысячи клиентов могут иметь банковский счет. В sql мы создаем пользователя для каждого клиента с соответствующими правами доступа к определенным данным или предустановленным представлениям.

Мне показалось, что моей базе данных нужен только один пользователь root (я), и у меня есть таблица клиентов с PW. Я проверяю клиента по полю pw, используя Javascript на странице входа в систему, если он совпадает, тогда у меня просто будут методы JS / Java для подключения и выполнения операторов sql для БД, например: Для (клиент) выберите Баланс со счета, где клиент № = (при условии, что пользователь не вводит данные с экрана входа при вводе данных пользователем).

Таким образом, в двух словах, каждому клиенту из возможного миллиона нужна учетная запись пользователя в БД, или мы можем просто использовать внутренние методы для получения релевантной информации по первичному ключу, например, номер клиента или имя пользователя.

Я тщательно исследовал эти вопросы, но, похоже, не могу найти ответы, вероятно потому, что мне трудно объяснить мою точку зрения. Может кто-нибудь, пожалуйста, проясните это для меня

Спасибо

Answer 1

Для вашего приложения ...

Вам определенно нужен слой между "клиентом" и "данными".Клиент никогда не должен иметь возможность напрямую подключаться к базе данных.Они должны проходить через уровень.

Этот уровень будет включать код и базы данных.Таблицы базы данных будут содержать имена клиентов, адреса, зашифрованные пароли и т. Д. Код будет выполнять проверку и т. Д.

Что касается MySQL, то может быть ровно 2 "пользователя":

• root для администрирования и
• ... для одного «пользователя», который является посредником для обработки всех «банковских» действий и связи с остальными базами данных.

Должно быть не менее двух DATABASEs, каждый с разными TABLEs:

• Администратор базы данных - пользователи, имена, pwds и т. Д.
• «Деньги» - счета, Audit_Trail, выписки и т. Д.

Единственная причина для таблицы statement состоит в том, чтобы заморозить выписку, чтобы в случае возникновения спора выпо крайней мере, иметь копию заявления.Поскольку оператор полностью избыточен, он может быть просто файлом PDF.

Если у вас миллион «пользователей», в некоторых таблицах будет миллион строк;у некоторых может быть намного больше строк.

Если вы работаете с реальными "деньгами", то вам необходим очень серьезный аудит безопасности всего, что вы делаете.Это выходит за рамки этого форума.