Лучший подход к правилам авторизации

Question

Меня интересует наилучший подход к реализации аутентификации. правила в приложении клиент-сервер с использованием Business Objects.

Я заметил обычную тактику:
- на стороне БД: реализовать одну роль для приложения, используемую для всех пользователей приложения
- определение прав и ролей пользователей и назначение пользователей соответствующей группе
- Клиентская сторона: добавьте в средство проверки прав получения / установки Business Object, позволяющее записывать / отображать данные для конкретного пользователя

Меня беспокоит, если это действительно хороший подход с точки зрения безопасности.
Похоже, БД отправляет всю информацию Клиенту, а затем логика клиента решает, что отображать или нет.
Таким образом, потенциально продвинутый пользователь может сделать запрос из своего окна и увидеть / изменить что угодно. Не правда ли?

Answer 1

Если БД отправляет всю информацию клиенту, включая информацию, которую некоторые пользователи не должны видеть, у вас есть проблемы с безопасностью. Вы должны возвращать только тот объем данных, который пользователь имеет право просматривать.

Дизайн авторизации тесно связан с вашим приложением и дизайном базы данных. Если вам нужны очень детальные (возможно, для каждого пользователя) разрешения, то вы должны иметь возможность указать это достаточно глубоко в своем проекте, чтобы обеспечить его безопасность. Если у вас есть только простые правила для реализации, вы можете работать на более высоком уровне и, возможно, заблокировать доступ к определенным объектам или таблицам.