実装認証の最善のアプローチについて疑問に思っています。ビジネス オブジェクトを使用したクライアント サーバー アプリのルール。
一般的な戦術は次のとおりです:
- DB 側: アプリケーションに 1 つのロールを実装し、すべてのアプリのユーザーに使用します
- ユーザーの権限とロールを定義し、ユーザーを適切なグループに割り当てます
- クライアント側: ビジネス オブジェクトのゲッター/セッター権限チェッカーに追加して許可します特定のユーザーのデータの書き込み/表示
私の懸念は、これがセキュリティの観点から本当に良いアプローチであるかどうかです。
DBがすべての情報をクライアントに送信し、クライアントのロジックが何を表示するかどうかを決定するように見えます。
したがって、潜在的に上級のユーザーは、自分のボックスからクエリを作成し、何でも確認/変更できます。ではない?