1

従来の Web アプリケーションの RIA バージョンを作成することを考えています。従来の Web アプリでは、ほとんどのコードはサーバー上にあり、明らかにクライアントには接触していません。少なくとも、現在のユーザーが何かを実行する権限を持っているかどうか、またはどのフォーム フィールドを表示するかを確認するための条件付きコードが必要です。RIA では、すべてのコードがブラウザーで実行されます。つまり、私には 2 つの選択肢があるようです。

  1. フォームを表示する必要がある場合は、サーバーから動的に取得します。これは機能しますが、サーバーは JSON をマーシャリングするだけでなく、より多くの作業を行う必要があります。
  2. サーバーからアカウント データを戻し、クライアントですべての認証コードを実行します。basecampmobile をざっと見てみたところ、このようなことをしているようです。私の質問は、この情報をクロージャーの背後に隠すことで本当に保護されるのでしょうか、それともこれは「あいまいさによるセキュリティ」ですか?
4

2 に答える 2

0

シック クライアントで作業する場合、クライアントは簡単にハッキングされる可能性があるため、サーバーとクライアントの両方でユーザー セキュリティを確認する必要があります。

RIA サービスの役割ベースの承認は好きではありません。SQL Server のようなアクセス ベースの承認を使用する方がはるかに直感的であり、クライアント側でセキュリティを再実装する必要はありません。たとえば、x、y、および y がこの createCustomer(..) メソッドにアクセスできると言う代わりに、「作成」権限を持つユーザーがこのメソッドにアクセスできると言う方が直感的です。私は、この種の認証を容易にするオープン ソース フレームワークを持っています。詳細はこちらをご覧ください。それは安全なフレームワークと呼ばれます。

于 2011-07-10T12:28:12.700 に答える
0

サーバーとクライアントで承認を行います。クライアントはサーバーで認証され、サーバーはそのクライアント/ユーザーに属するデータのみを返します。次に、クライアントで詳細の承認を確認して、それに応じて UI を更新します。

いつでも開発ツールにジャンプしてネットワーク トラフィックを確認できることを忘れないでください。

于 2011-05-06T15:26:21.740 に答える