Шаблоны проектирования для безопасности и контроля доступа к данным

Question

Недавно обнаружив шаблоны проектирования и приобретя превосходную книгу Head First Design Patterns (могу действительно рекомендовать это!), Я теперь задаюсь вопросом о шаблонах проектирования для обеспечения безопасности и управления доступом к записям в хранилищах данных.

Мой вариант использования - это приложение в стиле CRM, с контактами, предприятиями и пользователями, которые имеют разные уровни доступа, включая ограничение доступа только для чтения или даже подмножество записей.Я буду заниматься только индивидуальным контролем доступа на уровне объекта, а не на уровне поля.

Может ли кто-нибудь порекомендовать какие-либо ориентированные на безопасность шаблоны проектирования, которые бы соответствовали вышеприведенному?

Если это имеет значение, я используюASP.Net MVC, Entity Framework 4 и SQL Server 2008.

Answer 1

Безопасность - это то, что мы называем сквозной заботой, и с ней никогда не легко справиться.

Если вам нужно разобраться с безопасностью на уровне ASP.NET MVC, вам стоит взглянуть на учебник MVC:

http://www.asp.net/learn/mvc/

Если вы хотите узнать больше о безопасности на уровне модели домена, вам уже задали интересный вопрос:

Политики безопасности пользователей DDD

Надеюсь, это поможет

Answer 2

Хорошее место для начала в области безопасности (хотя это не обязательно книга «Шаблоны проектирования безопасности») - это Проектирование безопасности .

Росса Андерсона.

Answer 3

Существует группа шаблонов, созданных для обеспечения безопасности, хотя большинство из них используются для защиты интегрированных систем. Я не нашел ни одной книги, которая была бы так хорошо написана и пригодна для использования, как GOF / Head-first, хотя мне очень понравилась книга в Интернете по адресу www.securitypatterns.org .

Безопасность связана как с архитектурой (настройка сервера, топология сети ...), так и с программированием, поэтому я бы порекомендовал вам начать с общей книги по безопасности. Также возьмите книгу, посвященную безопасности .NET / Windows, поскольку надежное программирование безопасности зависит от конкретной технологии (у меня, как программиста UNIX / Java, будет совершенно другой набор инструментов, чем программист .NET и, к сожалению, не может помочь вам с книгой на эту последнюю тему).