Я перенесу обширный набор отчетов из классического веб-приложения asp в службы Reporting Services и столкнулся с интересной проблемой проектирования.
Моя планируемая архитектура состоит из сервера приложений IIS, на котором выполняется приложение Classic ASPи сервер базы данных, на котором запущены службы отчетов SQL Server 2008.Основной проблемой является поддержание безопасности при переходе от приложения asp к отчетам в SSRS.Приложение asp собирает информацию от пользователя и генерирует параметры, которые оно затем публикует на сервере отчетов.Для этой настройки потребуется, чтобы сервер отчетов принимал анонимные запросы на отчеты, что по существу нарушает встроенную безопасность Active Directory.
Это означает, что злоумышленник может создать свою собственную html-страницу со своими параметрами отчета и опубликоватьна мой сервер отчетов , что позволяет ему получить полный доступ к данным в моей базе данных.В нынешнем виде эта архитектура может привести к довольно серьезным нарушениям безопасности.
Мой классический ASP уже определяет учетные записи и роли пользователей, поэтому я хотел бы использовать эти учетные записи для ограничения доступа к отчетам.Я планирую добавить на сервер приложений приложение .NET, которое загружает отчеты для пользователя с помощью элемента управления Report Viewer.Сеанс пользователя можно безопасно перенести с классического asp на asp.net в несколькими способами .Затем средство просмотра отчетов может выполнить проверку подлинности на сервере отчетов, используя учетную запись процесса ASP.NET.
Однако в результате такой работы все мои пользователи перенаправляются на одну страницу для всех отчетов в системе.Приведет ли это к снижению производительности сайта?Кажется, что прирост производительности, который я получаю от перемещения всех отчетов в SSRS, будет потерян, если я затем предоставлю их всем через сервер приложений IIS.И я не уверен, каков будет эффект, если 90% моего веб-трафика будет перенаправлено на одну страницу asp.net.
Это законные опасения?Я все об этом ошибаюсь?