(Questo è il miglior forum per questo tipo di domanda?)
Sto scrivendo un'applicazione web che consente agli utenti autorizzati di accedere ed eseguire varie attività, a seconda del ruolo o dei ruoli di sicurezza che sono stati assegnati.
Suppongo che per impedire agli utenti di eseguire attività che i loro ruoli non consentono, ciò dovrebbe probabilmente comportare due fasi principali:
- Presenta pagine web che contengono solo le opzioni (menu, pagine, pulsanti, campi, ecc.) a cui l'utente deve poter accedere, sulle pagine web. (Questo funziona praticamente già.)
- Nel caso in cui un utente provi un po 'di hacking (ad esempio pubblicando campi / valori che la loro pagina Web non consente loro di pubblicare), controlla due volte tutte le azioni prima di elaborarle. (Mi sembra abbastanza complesso in alcune aree, per me.)
Questa strategia sembra appropriata / normale / necessaria? Qualche suggerimento o link a pagine che discutono di questo, prima che io possa passare un sacco di tempo a percorrere la pista sbagliata?
Sto usando Perl / MySQL su Linux, anche se i principi potrebbero essere generici.
Grazie.