Меня интересует лучший подход к реализации аутентификации. правила в клиент-серверном приложении с помощью Business Objects.
Я заметил распространенную тактику:
- на стороне БД: реализовать одну роль для приложения, используемую для всех пользователей приложения
- определить права и роли пользователей и назначить пользователей в соответствующую группу< br> - Клиентская сторона: добавить в средство проверки прав getters/setters Business Object, позволяющее записывать/отображать данные для конкретного пользователя
Меня беспокоит, действительно ли это хороший подход с точки зрения безопасности.
Похоже, что БД отправляет всю информацию клиенту, а затем логика клиента решает, что отображать, а что нет.
Таким образом, потенциально продвинутый пользователь может сделать запрос из своей коробки. и увидеть/изменить что-либо. Не так ли?