ユーザーの承認と認証を確認するのに最適な場所はどこですか。ビジネス層ですか、それともアプリケーション層ですか?
私の意見では、それはアプリケーション層です。ユーザーが十分な権限を持っていないアクションを実行させることはできません。
ビジネスは、ビジネス サービスと、それらのサービスを信頼できる層に公開することにのみ関心を持つ必要があります。パスワードを使用して不正アクセスから保護します。
しかし、多分私はここで何か間違っています。
1 に答える
1
アプリケーションをどのように設計したかによって異なります。アプリケーション レイヤーとビジネス レイヤーが同じプロセスの一部である場合は、アプリケーション レイヤーでのみ認証と承認のチェックを行っても問題ありません。
アプリケーション層でそれらを実行すると、ユーザーが使用を許可されていない機能を無効にすることができます。
ただし、ビジネス層を個別のサービスに設計した場合は、誰がそれらを呼び出しているのか、それらのユーザーが何をできるのかを知る必要があります。これらのセキュリティ境界でも authN と authZ が必要になります。
信頼されたサブシステムは、信頼されていない当事者がそのコードを呼び出すことができないことを確認した場合にのみ機能します。
于 2015-09-26T16:20:34.080 に答える