โดยทั่วไปแล้วฉันจะตัดสินใจเรื่องการอนุญาตในตัวควบคุมฝั่งเซิร์ฟเวอร์ของฉัน สิ่งเหล่านี้เป็นจุดสิ้นสุดที่สงบเมื่อเร็ว ๆ นี้ แต่ฉันคิดว่าเหมือนกันกับสถาปัตยกรรมประเภท MVC เพื่อประโยชน์ในการโต้แย้งสมมติว่ามันเป็นสิทธิ์ตามบทบาท วิธีการป้องกันจะได้รับการอธิบายประกอบหรือทำการตรวจสอบและส่งคืน 403s หากจำเป็น
ตอนนี้เนื่องจากการให้สิทธิ์นั้นเป็นกฎทางธุรกิจจริง ๆ - ตัวอย่างเช่น "ผู้ดูแลระบบเท่านั้นที่สามารถแสดงรายการ X" ได้ฉันคิดว่าพวกเขาควรถูกเลเยอร์ลง เมื่อผู้ควบคุมขอให้ชั้นธุรกิจทำการดำเนินการบริการหรือชั้นธุรกิจจะแจ้งให้ผู้ควบคุมทราบว่าไม่ได้รับอนุญาต
นี่เป็นแนวทางที่สมเหตุสมผลหรือไม่? มีข้อเสียนี้หรือไม่?
ฉันไม่ชอบที่จะมี AuthorisationService ซึ่งเป็นส่วนหนึ่งของกฎการเข้ารหัสแบบสแตติกขั้นตอนเพื่อทำสิ่งนี้ แต่บางทีมันก็สมเหตุสมผลที่จะเก็บตรรกะการเข้าถึงทั้งหมดไว้ในที่เดียว มันเป็นความกังวลข้ามตัดที่ควรแยกจากกัน?
ดังนั้นฉันจึงถามว่ามีใครทำเช่นนี้หรือไม่และวิธีการที่พวกเขาประสบความสำเร็จในวิธีที่สะอาดหรือว่ามีแหล่งข้อมูลที่ดีที่ฉันสามารถอ่านได้ ฉันใช้ Java fwiw แต่นี่เป็นคำถามที่ไม่เชื่อเรื่องภาษา
ฉันได้ตรวจสอบคำถามที่เกี่ยวข้องที่นี่และพวกเขาบางมากบนพื้นและคำตอบ ตัวอย่างเช่น: การตรวจสอบและการอนุญาตในรูปแบบโดเมนและดำเนินการผ่าน Service Layer ถึง MVC
ฉันกำลังอ่านเอกสารเกี่ยวกับความปลอดภัยของฤดูใบไม้ผลิซึ่งทำให้เกิดข้อโต้แย้งที่ดีเกี่ยวกับเรื่องนี้ซึ่งเป็นประเด็นที่ต้องคำนึงถึง แต่ฉันกังวลว่ามันเป็นเพียงแค่ "วิธีการในฤดูใบไม้ผลิ" และต้องการมุมมองที่กว้างขึ้น นอกจากนี้ยังเชื่อมโยงแอปพลิเคชันของคุณเข้ากับกรอบงานเฉพาะ