Accesso alla sicurezza per i profili utente

Naviga le tue risposte
1

Ho un modulo di autenticazione utente nel mio progetto, che gestisce tutte le informazioni dell'utente ed è regolato con determinati diritti di accesso granulari come Create User , Change User e Delete User . Questi sono ovviamente pensati per gli usi amministrativi e un utente normale non avrà questi permessi.

Tuttavia, come utente normale, desidero modificare i miei dettagli personali, naturalmente. Con un utente normale che non ha il permesso di Change user , potrebbe proprio non farlo. Di potrebbe rendere una condizione eccezionale nel back-end se un utente vuole modificare se stesso. Ma in qualche modo ho la sensazione che ci sia un modo più pulito per farlo.

Quale sarebbe il modo migliore per questo dilemma?

    
posta Herr Derb 04.08.2017 - 11:47
fonte

1 risposta

3

L'autorizzazione di auto-modifica potrebbe essere leggermente diversa da change user dell'amministratore. Dopo tutto, a un utente finale potrebbe non essere consentito di cambiare il suo ID o la sua identità principale (ad es. Nome) o le autorizzazioni che sono concesse a se stesso, ma solo il suo indirizzo o dettagli di contatto e dati non critici.

Se questa modifica automatica è una regola generale del sistema, nulla parla contro la codifica di questa eccezione.

Ma un approccio più a prova di futuro consisterebbe nell'utilizzare un'autorizzazione self-edit e l'accesso al codice usando questa autorizzazione. È quindi possibile aggiungere a livello di programmazione questa autorizzazione a un record utente se si tratta di una regola generale o richiedere che venga aggiunta esplicitamente dall'amministratore a un record utente, se nella società sono presenti regole più rigide.

    
risposta data 04.08.2017 - 12:08
fonte

Leggi altre domande sui tag

Manipola i dati del database attraverso la richiesta dell'API REST singola o Più richieste conseguenti? Numero di versione principale come parte del nome del pacchetto / spazio dei nomi?