0

私の考えについて未解決の質問があります。ここにいくつかの背景があります: 私は働いている会社のために PHP アプリケーションを開発しています。すべての従業員は、SharePoint ポータルにアクセスできます。基本的に、アプリは、SharePoint にアクセスできる人だけがアクセスできるようにする必要があります。

SP を使用してアプリでユーザーを承認するというアイデアがあります。認証は、CURL を使用して、SP から保護されたファイル (すべてのユーザーに 1 つ) をダウンロードすることに基づいて行われます。ファイルが正しくダウンロードされている場合は、ログインしています。そうでない場合は、アプリへのアクセスは許可されていません (もちろん、例外処理が行われます)。したがって、SP にアクセスできる各ユーザーは、アプリにアクセスできます。アプリと SP は別のサーバーにあります。

その考えについてどう思いますか。安全でしょうか?それはまったく良い考えですか?

感じたメリットとデメリットをまとめてみました。...

長所:

  • 開発しやすい
  • アクセス制御は SharePoint によって保持されます
  • ユーザーは新しいログインとパスワードを覚える必要はありません
  • IMO アプリのデータベースにパスワードが保存されないため、安全である必要があります

短所/脆弱性:

  • ファイルが誤って削除される可能性

乾杯、ジビ

4

1 に答える 1

0

これは良い考えではありません。基本的に、クライアントが自分自身を認証することを信頼していますが、これは非常に悪いことです。クライアント コードは完全に侵害されており、制御をバイパスするために攻撃者によって変更されていると想定する必要があります。

一般的に言えば、「独自のロール」セキュリティは災害のレシピです。PHP に組み込まれているセッション追跡メカニズムを利用する必要があります。まだ使用方法がわからない場合は、ここで優れたチュートリアルを見つけることができます。ユーザーは再度認証する必要がありますが、残念ながら適切なセキュリティのために必要です。

また、提案されたソリューションでは、「従業員」以外のアクセス制御がない可能性があることに注意してください。ユーザー ID、ロール、またはグループに基づいてリソースへのユーザー アクセスを制限する機能を提供する必要がある場合、これは将来的に非常に制限されます。ゲームのこの時点で適切に行うと、将来はもっと幸せになるでしょう.

于 2013-05-16T00:17:00.367 に答える