Utilizzo di una singola applicazione per utente e amministratore (con metodi di autenticazione diversi) rispetto alla separazione in due applicazioni

7

Sto creando un'applicazione per la gestione delle risorse umane che consente l'accesso sia da parte dei dipendenti che dell'amministratore delle risorse umane. Ora, mi trovo di fronte a un problema di buone pratiche.

Ci sarebbero sicuramente due utenti: impiegati e amministratore delle risorse umane. Vorrei solo chiedere se sarà un rischio per la sicurezza mettere l'amministratore delle risorse umane e il lato dei dipendenti insieme in un'unica applicazione e solo fornire diversi gruppi di pagine per l'amministratore delle risorse umane e il dipendente (che sarà determinato dal tipo di account del account registrato). È considerata una buona pratica o non pone problemi / minacce alla sicurezza? O dovrei semplicemente creare due applicazioni separate (lato dipendente e lato amministrazione delle risorse umane)?

Grazie!

    
posta dagitab 25.01.2016 - 17:57
fonte

2 risposte

6

Entrambe le opzioni possono funzionare, se eseguite correttamente . In generale, preferirei usare la stessa applicazione perché è più semplice da mantenere, in particolare se le due applicazioni condividono un sacco di codice comune. Tuttavia, ci sono alcune considerazioni che potrebbero suggerire le scale a favore di due applicazioni distinte, principalmente:

  1. È più facile bloccare un'applicazione HR separata per qualcosa di più che semplicemente un ruolo di accesso. Ad esempio, l'app Employee può essere accessibile pubblicamente tramite Internet, ma l'app per le risorse umane potrebbe essere bloccata alla rete interna o persino a determinate workstation dell'utente.
  2. Sarebbe molto più difficile forzare un accesso valido per l'app per le risorse umane senza averne accesso.
  3. Con una singola app, è possibile che uno sviluppatore commetta un errore e esporre accidentalmente le funzionalità di amministrazione a utenti regolari. Questo ovviamente non accadrebbe con app separate. (Questo è il motivo per cui ho sottolineato "se fatto correttamente" nella prima frase).
risposta data 25.01.2016 - 20:23
fonte
2

Puoi sicuramente usare una singola applicazione. Anche se potrebbe essere leggermente più complesso da implementare rispetto a due app separate, l'utilizzo di un'unica app con più livelli di accesso è una pratica comune e accettabile.

L'autenticazione è importante per entrambi gli approcci, ma con una singola app dovrai assicurarti che tutte le funzionalità di amministrazione siano protette. Controlla il livello di accesso dell'utente ogni volta che esegui un'azione che solo gli amministratori dovrebbero essere in grado di fare. Il vantaggio di utilizzare questo approccio è che non dovrai riutilizzare alcun codice / pagine per la funzionalità condivisa e hai solo un'applicazione per mantenere / patch.

    
risposta data 25.01.2016 - 19:25
fonte

Leggi altre domande sui tag