0
什么是检查用户授权和身份验证的最佳位置。业务层或应用层?更正层级以检查用户授权和身份验证
我认为这是应用程序层。它不能让用户进行用户没有足够权限的操作。
业务只应关注业务服务并将这些服务暴露给可信级别。使用密码来防止未经授权的访问。
但也许我在这里得到错误。
A
回答
1
这取决于你如何构建你的应用程序。如果应用程序层和业务层是同一进程的一部分,那么仅在应用程序层进行身份验证和授权检查就可以了。
在应用程序层中执行它们确实允许您禁用用户不允许使用的功能。但是,如果您将业务层设计为单独的服务,则需要知道谁在呼叫他们以及这些用户可以执行什么操作。您还需要在这些安全边界处使用authN和authZ。
受信任的子系统只有在确定没有不受信任方可以调用该代码时才有效。
相关问题
- 1. 身份验证和授权
- 2. Couchdb身份验证/授权
- 3. ASP.Net身份验证和授权选项
- 4. JSF身份验证和授权
- 5. Net Sql AZMan身份验证和授权
- 6. 羽毛 - 身份验证和授权
- 7. EJB身份验证和授权
- 8. JSP - 身份验证和授权
- 9. django身份验证和授权
- 10. WEB API 2身份验证和授权
- 11. JWT身份验证和授权
- 12. 身份验证和授权,djangorestframework
- 13. .Net中的身份验证和授权
- 14. 身份验证和授权系统
- 15. Spring Security的授权和身份验证
- 16. 身份验证和授权 - 新安全
- 17. Firebase身份验证和授权
- 18. Apache MyFaces 2.0身份验证和授权
- 19. 在n层架构中的身份验证和授权
- 20. ASP.NET MVC中的用户身份验证和授权
- 21. 移动和Web用户身份验证/授权体系结构
- 22. 哪种模式可以用于身份验证和授权.... c#
- 23. RavenDB IIS身份验证/授权
- 24. 自定义身份验证未授权
- 25. ASP.NET MVC 3身份验证/授权
- 26. Twitter的API身份验证VS授权
- 27. Azure网站身份验证/授权
- 28. ASP.Net/MVC授权Vs的身份验证
- 29. 护照JWT&授权与身份验证
- 30. 身份验证授权ASP/NET MVC 3使用成员身份
你回答了你自己的问题,有很好的推理。为什么你不会只用它,然后工作,如果它适合**你的**风格的应用程序开发? –
谢谢,事实是,在我的理解授权是某种程度上也是商业逻辑的一部分,为什么我们使用应用程序层来执行它? – GionJh